Une souche de logiciels malveillants en constante évolution a développé une autre astuce : elle s’injecte dans les fils de discussion en cours, en espérant que quelqu’un sur le fil ouvrira un document malveillant qui infectera son PC.
Qakbot, autrement connu sous le nom de Qbot ou Pinkslipbot, a commencé comme un cheval de Troie bancaire en 2007, mais s’est depuis transformé en vol d’informations (y compris des mots de passe et des numéros de carte de crédit), en installant des rançongiciels et des portes dérobées et en cartographiant les réseaux d’entreprise. Il peut arriver dans des fichiers Microsoft Office empoisonnés ou via des pages Web infectées.
La nouvelle arme la plus puissante de Qakbot, selon un rapport Sophos publié aujourd’hui (10 mars), consiste à détourner des comptes de messagerie, puis à vérifier les fils de discussion en cours que le compte de messagerie a reçus, et enfin à ajouter des messages de réponse à ces fils contenant des liens vers fichiers Office infectés.
« Son abus des fils de discussion le rend particulièrement dangereux », ont écrit Andrew Brandt et Steeve Gaudreault de Sophos. « Les destinataires du courrier peuvent ne pas se rendre compte que les e-mails diffusés par Qakbot ne font pas seulement partie d’une conversation en cours entre plusieurs parties. »
Danser sur les logiciels malveillants
Le message racontait comment en octobre 2021, un fil que Brandt avait reçu sur la musique de danse expérimentale contenait soudainement des messages d’autres membres du fil qui semblaient étrangement adaptés au langage des affaires – ainsi qu’un lien pour télécharger un fichier.
« Bonjour. Si cela ne cause aucun inconvénient, veuillez répondre aux derniers documents que j’ai envoyés », a lu un message qui ne semblait pas concerner la musique de danse. « Au cas où le message n’arriverait pas, veuillez le faire maintenant. »
Celui-ci était accompagné d’une adresse Web contenant un fichier ZIP, une archive compressée. D’autres messages contenaient des textes encore plus brefs, tels que « Vous trouverez ci-joint le document dont vous avez besoin » ou « Veuillez lire ceci dès que possible », ainsi que des liens vers des fichiers ZIP en ligne.
L’une de ces charges utiles comprenait des instructions sur la façon de voler les informations d’identification des utilisateurs pour quelques dizaines de sites Web bancaires et financiers américains.
Ces fichiers ZIP se décompressent pour créer des fichiers Word ou Excel qui infectent votre machine avec des logiciels malveillants une fois que vous avez contourné les protections de Microsoft contre les documents transmis par Internet en cliquant sur les boutons « Activer l’édition » ou « Activer le contenu ». (Microsoft rend lentement ce type de processus d’infection plus difficile à réaliser.)
« Le logiciel malveillant a fourni au moins trois charges utiles différentes, y compris un injecteur Web pour voler les identifiants de connexion et un composant d’analyse ARP qui a tenté de profiler le réseau sur lequel il s’exécutait », ont écrit Brandt et Gaudreault.
Ils ont ajouté que le logiciel malveillant écrivait également dans le registre Windows et tentait d’envoyer des spams à partir de la machine de test – et fonctionnait toujours très bien en mars.
« Le même logiciel malveillant initial avec lequel j’ai infecté un banc d’essai en octobre reste fonctionnel et capable d’atteindre son serveur de commande et de contrôle », a écrit Brandt. « Il reçoit toujours des mises à jour de charge utile, même cinq mois plus tard. »
L’une de ces charges utiles comprenait des instructions sur la façon de voler les informations d’identification des utilisateurs pour quelques dizaines de sites Web bancaires et financiers américains, notamment Bank of America, Citibank, Wells Fargo, TD Ameritrade et Schwab, ainsi que PayPal et Microsoft.
Comment se protéger des injections d’e-mails Qakbot
Inutile de dire que ce n’est pas quelque chose auquel vous vous attendez lorsque vous parcourez un fil de discussion sur la musique de danse expérimentale ou sur toute autre activité culturelle qui vous fait envie.
Pour éviter l’infection par des logiciels malveillants qui arrivent dans le cadre d’un fil de discussion, la première règle consiste à ne pas télécharger de fichiers Office aléatoires sur Internet, même s’ils semblent provenir de quelqu’un que vous connaissez ou avec qui vous travaillez.
Deuxièmement, si vous téléchargez et ouvrez les fichiers, ne désactivez PAS les protections intégrées de Microsoft. Si le fichier indique que vous devez « Activer le contenu » ou « Activer l’édition » pour afficher le fichier, il est probablement malveillant.
Troisièmement, installez et utilisez certains des meilleurs logiciels antivirus. Vous en avez déjà un assez bon avec l’antivirus Microsoft Defender intégré, mais un antivirus tiers fera un meilleur travail en bloquant les sites Web malveillants connus et en interceptant les logiciels malveillants avant qu’ils ne se « déballent ».
Vous pouvez également utiliser un logiciel antivirus pour analyser tous les fichiers téléchargés avant de les ouvrir. Accédez simplement au fichier dans le gestionnaire de fichiers de l’Explorateur Windows et cliquez dessus avec le bouton droit pour faire apparaître un menu qui inclut une option pour analyser le fichier.