Des chercheurs en cybersécurité ont découvert une nouvelle campagne de piratage qui distribue le redoutable malware Qbot.
Qbot est utilisé par certains des plus grands opérateurs de rançongiciels au monde, tels que BlackBasta, REvil, Egregor et d’autres.
Selon les chercheurs ProxyLife et Cryptolaemus, les cybercriminels utilisent des comptes de messagerie détournés pour diffuser le malware. Ils utiliseraient le compte volé pour répondre à une chaîne d’e-mails, afin de ne pas paraître trop suspects. Dans le message de réponse, ils distribueraient un fichier .PDF appelé « CancellationLetter-[number]”. Si la victime ouvre le fichier, elle verra une invite indiquant « Ce document contient des fichiers protégés, pour les afficher, cliquez sur le bouton « Ouvrir » ».
Évolution du cheval de Troie bancaire
Cependant, appuyer sur le bouton télécharge un fichier .ZIP avec un document Windows Script (WSF). Ce fichier, comme l’expliquent les chercheurs, est un mélange de codes JavaScript et Visual Basic Script qui téléchargent Qbot.
Qbot lui-même était un cheval de Troie bancaire, mais il a depuis évolué pour devenir un logiciel malveillant à part entière qui permet d’accéder à des terminaux compromis. De grands syndicats de cybercriminels utilisent Qbot pour diffuser des logiciels malveillants de niveau deux. Plus particulièrement – ransomware.
Pour vous défendre contre cette attaque, ainsi que d’innombrables attaques similaires, la meilleure façon est d’utiliser d’abord votre bon sens – si vous n’attendez pas un e-mail, en particulier avec une pièce jointe, soyez sceptique quant à son contenu. Il en va de même pour les liens dans les corps des e-mails – vérifiez toujours avant d’ouvrir des liens.
De plus, avoir des solutions de cybersécurité appropriées ne fera pas de mal – une solution de sécurité de messagerie, un antivirus ou un pare-feu vous aidera dans la lutte contre les logiciels malveillants et les rançongiciels. En outre, la configuration de l’authentification multifacteur (MFA) sur tous les comptes dans la mesure du possible est un excellent moyen de se protéger contre le vol de données et d’identité.
Enfin, la mise à jour du matériel et des logiciels est cruciale. En appliquant les derniers correctifs et mises à jour du micrologiciel, vous protégez vos points de terminaison des vulnérabilités connues dont les pirates peuvent abuser avec des logiciels malveillants.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)