Campagne phishing Qakbot

Le CERT de DFi (CERT-DFi) a détecté une augmentation des attaques de phishing chez plusieurs de ses clients. Ces campagnes s’accélèrent de jours en jours et visent tous les secteurs d’activités. Nous recommandons fortement de sensibiliser les utilisateurs à cette menace pour éviter la compromission de l’entreprise.

Analyse : 

Email :

CERT-DFi a constaté lors de l’analyse de plusieurs cas que le vecteur initial qui constitue la porte d’entrée dans le système semble être toujours le même. Les attaquants utilisent une attaque de phishing visant à convaincre l’utilisateur d’ouvrir une pièce jointe malveillante.

Le mail initial incluant la pièce jointe malveillante est constitué d’un historique de conversation visant à se rapprocher le plus possible d’une conversation réelle entre plusieurs personnes de la société visé.

Les emails analysés se composent des éléments suivants :

  • Le sujet est toujours une réponse de type “Transfert email”. Il contient donc le terme “RE : ” simulant ainsi une conversation passée.
  • Dans certains cas les caractères de la conversation ne sont pas correctement affiches
  • La conversation utilisée dans le corps du mail “Transféré” est très proche de la réalité et inclut des acteurs bien réel à l’entreprise
  • Le fichier joint est toujours une archive au format “ZIP” contenant un fichier Excel malveillant.
  • Le nommage de la pièce jointe semble respecter la convention de nommage suivante :
    • Un mot suivi d’un caractère de séparation, suivi de plusieurs chiffres :

Pièce jointe :

Dans tous les cas analysés, l’archive “ZIP” contenait un fichier Excel au format “xls”.

Il est important de noter qu’il est tout à fait possible que les attaquants utilisent d’autre type d’archive et d’autre type de fichier de la suite Microsoft Office.

Le fichier Excel est composé d’une seule feuille Excel simulant un faux document DocuSign :

L’unique feuille Excel contient la méthode permettant à l’attaquant de convaincre l’utilisateur d’activer l’exécution de code dans Excel en cliquant sur le bandeau jaune :

Le simple “clic” sur ce bouton déclenche l’exécution du code malveillant est compromet la machine de l’utilisateur avec un malware nommé Qakbot.

Qakbot :

Qakbot est classé comme étant un Trojan bancaire. Le malware est très sophistiqué car l’empreinte laissée sur le système est quasi nulle. Ce malware modulaire permet notamment d’effectuer les actions suivantes :

  • Prise d’empreinte du système infecte (Utilisateur, ressource, …)
  • Collecte des cookies des navigateurs web
  • Utilisation de VNC dans la mémoire pour interagir avec la machine infecte
  • Récupération des emails de l’utilisateur
  • Modification des interactions utilisateur avec les navigateurs web
  • Récupération des identifiants et des mots de passe de l’utilisateur
  • Utilisation de la machine infecte pour effectuer des attaques et/ou transférer des données

Qakbot permet également d’injecter d’autres familles de malware comme les ransomwares.

Recommandations :

Nous recommandons de prendre en considération les actions préventives suivantes :

  • Sensibiliser les collaborateurs de votre entreprise à cette menace
  • Sensibiliser les collaborateurs de votre entreprise à intervalle régulier en effectuant des simulations de phishing
  • Disposer de solutions de sécurité permettant une protection des machines des utilisateurs (Ex : Antivirus type EDR, Authentification multi facteur, durcissement des systèmes d’exploitation, …)
  • Disposer de solutions de sécurité permettant une protection périmétrique de votre entreprise (Ex : firewall, antispam, …)

Partager cet article