De nouvelles attaques QakNote propagent le malware QBot via les fichiers Microsoft OneNote
Depuis la fin de la semaine dernière, une nouvelle campagne de malwares QBot connue sous le nom de “QakNote” a été repérée dans la nature. Cette campagne infecte les ordinateurs avec le cheval de Troie bancaire en utilisant des pièces jointes malveillantes Microsoft OneNote “.one”. Un ancien cheval de Troie bancaire connu sous le nom de Qbot (également connu sous le nom de QakBot) s’est transformé en un logiciel malveillant capable d’obtenir un accès initial aux ordinateurs, permettant aux acteurs de la menace d’installer des logiciels malveillants supplémentaires sur les systèmes infectés et d’effectuer des vols de données, des rançongiciels ou d’autres opérations sur l’ensemble du réseau.
Les macros malveillantes dans les documents Office ont été supprimées par Microsoft en juillet 2022, ce qui donne aux acteurs de la menace moins de moyens d’exécuter du code sur les ordinateurs des cibles.
Les pièces jointes OneNote dans les e-mails de phishing sont depuis apparues comme un nouveau vecteur d’attaque pour remplacer ces macros. Lorsqu’ils créent des documents OneNote malveillants, les acteurs de la menace peuvent incorporer presque n’importe quel type de fichier, comme des pièces jointes LNK ou VBS. Lorsqu’un utilisateur double-clique sur une pièce jointe intégrée dans un bloc-notes OneNote, il est alors exécuté. Pour ouvrir le fichier incorporé, les utilisateurs doivent être persuadés de cliquer sur un emplacement spécifique, ce qui se fait généralement à l’aide d’un bouton “Double-cliquer pour afficher le fichier” ou d’un autre appel à l’action, comme illustré ci-dessous.
Une fois activées, les pièces jointes intégrées ont la capacité d’exécuter des commandes qui téléchargent et installent des logiciels malveillants sur l’ordinateur local.
La campagne QakNote
Le chercheur en sécurité Andrew Brandt révèle dans une analyse récente de Sophos que depuis le 31 janvier 2023, les opérateurs de QBot testent cette nouvelle technique de distribution, en utilisant des fichiers OneNote qui comportent une application HTML intégrée (fichier HTA) qui télécharge la charge utile du malware QBot. Max Malyutin, chercheur chez Cynet, a tweeté pour la première fois sur ce changement dans la distribution de QBot le 31 janvier 2023.
Le véritable programme curl.exe est utilisé par un script dans le fichier HTA pour télécharger un fichier DLL (le malware Qbot) dans le dossier C:ProgramData, qui est ensuite exécuté par Rundll32.exe.
Pour masquer sa présence et éviter d’être détecté par les produits AV fonctionnant sur l’appareil, la charge utile QBot s’injecte dans la gestion des technologies d’assistance de Windows (“AtBroker.exe”). Selon Sophos, les opérateurs de QBot utilisent deux stratégies différentes pour distribuer ces fichiers HTA. L’une consiste à envoyer des e-mails contenant un lien vers le malware. un fichier et le fichier qui utilise la technique des “injections de fils”. Avec cette dernière, qui est une tactique particulièrement difficile, les opérateurs de QBot détournent des fils de discussion de courriels préexistants et envoient à ses membres un message “reply-to-all” auquel est joint un fichier OneNote Notebook malveillant. Les acteurs de la menace déploient un faux bouton dans le fichier Notebook qui, lorsqu’on clique dessus, lance la pièce jointe HTA intégrée au lieu de télécharger le document depuis le cloud, ce qui rend ces attaques encore plus trompeuses pour les victimes.
Il est probable que cette activité amène la victime à recevoir une boîte de dialogue d’avertissement l’informant des dangers de l’exécution des pièces jointes. Sophos conseille aux administrateurs de messagerie de penser à interdire les extensions de fichier .one, car elles sont rarement transmises en tant que pièces jointes, comme mesure de protection contre ce nouveau vecteur d’attaque.
French 
Italian 