Début avril, les équipes de Kaspersky ont découvert une flambée dans la diffusion des logiciels malveillants Qbot ciblant les entreprises via leurs employés, diffusés par le biais d’une campagne de spams malveillants. Pour ce faire, les attaquants utilisent des techniques d’ingénierie sociale avancées : ils interceptent une correspondance professionnelle existante et y insèrent des PDF malveillants en pièces jointes. Cette méthode n’est pas le mode opératoire habituel de Qbot. Depuis le 4 avril, plus de 5 000 courriels contenant des pièces jointes indésirables au format PDF ont été reçus dans différents pays, et la campagne est toujours en cours. Les experts de Kaspersky ont procédé à une analyse technique du dispositif.
Qbot est un cheval de Troie bancaire notoire qui évolue dans le cadre d’un réseau de botnets. C’est un trojan capable de collecter des données telles que les mots de passe et les correspondances professionnelles des personnes ciblées. Il permet également aux acteurs de la menace de contrôler le système infecté à distance et d’installer des ransomwares ou des chevaux de Troie sur d’autres appareils du réseau. Les auteurs du logiciel malveillant utilisent différents modes de distribution, notamment l’envoi de courriels contenant des pièces jointes PDF malveillantes, une pratique jusqu’alors jamais observée dans le cadre de cette campagne.
Depuis le début du mois d’avril, les chercheurs de Kaspersky ont observé un pic d’activité provoqué par une campagne de spam utilisant le schéma décrit plus haut, avec des pièces jointes au format PDF. On date le début de cette nouvelle vague à la soirée du 4 avril, les experts ayant découverts plus 5000 spams liés à la campagne depuis lors, écrits en anglais, en allemand, en italien et en français.
Le malware bancaire est diffusé par le biais d’échanges professionnels réels, détournés par des cybercriminels. Ceux-ci transfèrent un mail à tous les participants dans le fil de discussion existant, et leur demandent d’ouvrir le PDF malveillant en pièce jointe en donnant des motifs plausibles pour convaincre les victimes potentielles d’ouvrir le document. Par exemple, les agents malveillants peuvent inviter les employés à partager toute la documentation liée au document en pièce jointe, ou encore de calculer le montant du contrat en fonction des coûts estimés dans celui-ci.
« Nous recommandons aux entreprises de rester vigilantes car même si sa vocation principale n’a pas changé au cours des deux dernières années, le malware Qbot est très dangereux. Ses opérateurs améliorent constamment leurs techniques, en enrichissant leurs tactiques d’ingénierie sociale, ce qui augmente la probabilité qu’un employé tombe dans leur stratagème. Pour rester en sécurité, vérifiez soigneusement les différents signaux d’alerte, tels que l’orthographe de l’adresse électronique de l’expéditeur, les pièces jointes douteuses, les erreurs grammaticales, etc. En outre, des solutions de cybersécurité spécialisées peuvent aider à garantir la sécurité des mails d’entreprise », commente Darya Ivanova, analyste malware chez Kaspersky.
Le contenu du fichier PDF partagé dans les mails malveillants est une image reproduisant une notification de Microsoft Office 365 ou de Microsoft Azure. Si l’utilisateur clique sur “Ouvrir”, l’archive malveillante se télécharge sur son ordinateur à partir d’un serveur distant (site web compromis).
Les experts de Kaspersky ont réalisé une analyse technique détaillée de ce procédé, consultable sur Securelist.
Pour protéger votre organisation contre les menaces similaires à Qbot, les équipes de Kaspersky font les recommandations suivantes :
-
Vérifiez l’adresse de l’expéditeur. La plupart des spams proviennent d’adresses électroniques qui n’ont ni queue ni tête. En survolant le nom de l’expéditeur, qui peut lui-même être mal orthographié, vous pouvez voir l’adresse électronique complète. Si vous n’êtes pas sûr qu’une adresse électronique soit légitime ou non, vous pouvez la saisir dans un moteur de recherche pour vérifier.
-
Méfiez-vous des messages qui créent un sentiment d’urgence. Les cybercriminels tentent souvent d’exercer une pression en donnant des deadlines à respecter. Par exemple, l’objet du message peut contenir des mots tels que “urgent” ou “action immédiate requise”, afin de vous pousser à agir.
-
Dispensez à votre personnel une formation de base à l’hygiène en matière de cybersécurité. Organisez également une simulation d’attaque par phishing pour s’assurer que vos employés savent distinguer les courriels d’hameçonnage des mails authentiques.
-
Utilisez une solution de protection des terminaux et des serveurs de messagerie dotée de fonctionnalités anti-phishing afin de réduire les risques d’infection par le biais d’attaques de phishing.
-
Installez une solution de sécurité fiable qui filtre automatiquement les spams.