Qbot est un cheval de Troie bancaire notoire qui évolue dans le cadre d’un réseau de botnets. C’est un trojan capable de collecter des données telles que les mots de passe et les correspondances professionnelles des personnes ciblées. Il permet également aux acteurs de la menace de contrôler le système infecté à distance et d’installer des ransomwares ou des chevaux de Troie sur d’autres appareils du réseau. Les auteurs du logiciel malveillant utilisent différents modes de distribution, notamment l’envoi de courriels contenant des pièces jointes PDF malveillantes, une pratique jusqu’alors jamais observée dans le cadre de cette campagne.

Depuis le début du mois d’avril, les chercheurs de Kaspersky ont observé un pic d’activité provoqué par une campagne de spam utilisant le schéma décrit plus haut, avec des pièces jointes au format PDF. On date le début de cette nouvelle vague à la soirée du 4 avril, les experts ayant découverts plus 5000 spams liés à la campagne depuis lors, écrits en anglais, en allemand, en italien et en français.

Exemple d’un mail transféré avec un fichier PDF malveillant en pièce jointe. Le message de l’attaquant n’est pas flouté.
Le malware bancaire est diffusé par le biais d’échanges professionnels réels, détournés par des cybercriminels. Ceux-ci transfèrent un mail à tous les participants dans le fil de discussion existant, et leur demandent d’ouvrir le PDF malveillant en pièce jointe en donnant des motifs plausibles pour convaincre les victimes potentielles d’ouvrir le document. Par exemple, les agents malveillants peuvent inviter les employés à partager toute la documentation liée au document en pièce jointe, ou encore de calculer le montant du contrat en fonction des coûts estimés dans celui-ci.
« Nous recommandons aux entreprises de rester vigilantes car même si sa vocation principale n’a pas changé au cours des deux dernières années, le malware Qbot est très dangereux. Ses opérateurs améliorent constamment leurs techniques, en enrichissant leurs tactiques d’ingénierie sociale, ce qui augmente la probabilité qu’un employé tombe dans leur stratagème. Pour rester en sécurité, vérifiez soigneusement les différents signaux d’alerte, tels que l’orthographe de l’adresse électronique de l’expéditeur, les pièces jointes douteuses, les erreurs grammaticales, etc. En outre, des solutions de cybersécurité spécialisées peuvent aider à garantir la sécurité des mails d’entreprise », commente Darya Ivanova, analyste malware chez Kaspersky.

Le contenu du fichier PDF partagé dans les mails malveillants est une image reproduisant une notification de Microsoft Office 365 ou de Microsoft Azure. Si l’utilisateur clique sur "Ouvrir", l’archive malveillante se télécharge sur son ordinateur à partir d’un serveur distant (site web compromis).

Pour protéger votre organisation contre les menaces similaires à Qbot, les équipes de Kaspersky font les recommandations suivantes :
• Vérifiez l’adresse de l’expéditeur. La plupart des spams proviennent d’adresses électroniques qui n’ont ni queue ni tête. En survolant le nom de l’expéditeur, qui peut lui-même être mal orthographié, vous pouvez voir l’adresse électronique complète. Si vous n’êtes pas sûr qu’une adresse électronique soit légitime ou non, vous pouvez la saisir dans un moteur de recherche pour vérifier.
• Méfiez-vous des messages qui créent un sentiment d’urgence. Les cybercriminels tentent souvent d’exercer une pression en donnant des deadlines à respecter. Par exemple, l’objet du message peut contenir des mots tels que "urgent" ou "action immédiate requise", afin de vous pousser à agir.
• Dispensez à votre personnel une formation de base à l’hygiène en matière de cybersécurité. Organisez également une simulation d’attaque par phishing pour s’assurer que vos employés savent distinguer les courriels d’hameçonnage des mails authentiques.
• Utilisez une solution de protection des terminaux et des serveurs de messagerie dotée de fonctionnalités anti-phishing, comme Kaspersky Endpoint Security for Business, afin de réduire les risques d’infection par le biais d’attaques de phishing.
• Installez une solution de sécurité fiable telle que Kaspersky Secure Mail Gateway, qui filtre automatiquement les spams.