Qu'est-ce que la famille de logiciels malveillants Qbot ?

Les logiciels malveillants sont désormais si répandus que des "familles" entières de chaque type sont créées. C'est le cas de Qbot, une famille de logiciels malveillants utilisée pour voler des données. Mais d'où vient Qbot, à quel point est-il dangereux et pouvez-vous vous en tenir à l'écart ?

Les origines de Qbot

Comme c'est souvent le cas avec les logiciels malveillants, Qbot (également connu sous le nom de Qakbot, Quakbot ou Pinkslipbot) n'a été découvert que lorsqu'il a été trouvé dans la nature. En termes de cybersécurité, "dans la nature" fait référence à un scénario dans lequel une forme de logiciel malveillant se propage parmi les appareils ciblés sans l'autorisation des utilisateurs. On pense que Qbot est opérationnel depuis au moins 2007, ce qui en fait une forme de malware considérablement plus ancienne que de nombreuses souches populaires aujourd'hui.

De nombreuses formes de logiciels malveillants des années 2000 ne sont plus utilisées, simplement parce qu'elles ne sont pas assez efficaces pour s'attaquer à la technologie moderne. Mais Qbot se démarque ici. Au moment de la rédaction de cet article, Qbot est opérationnel depuis au moins 16 ans, une durée de vie impressionnante pour un programme malveillant.

Depuis 2007, Qbot a été observé à plusieurs reprises en cours d'utilisation dans la nature, bien que cela ait également été interrompu par des périodes de stagnation. Dans tous les cas, c'est toujours une option populaire parmi les cybercriminels.

Qbot a évolué au fil des ans et a été utilisé par de nombreux pirates pour de nombreuses raisons. Qbot a commencé comme un cheval de Troie, un programme qui reste caché dans des applications apparemment inoffensives. Les chevaux de Troie peuvent être utilisés à de nombreuses fins malveillantes, notamment le vol de données et l'accès à distance. Qbot, plus précisément, s'attaque aux informations d'identification bancaires. Pour cette raison, il est considéré comme un cheval de Troie bancaire.

Mais est-ce toujours le cas? Comment fonctionne Qbot aujourd'hui ?

Comment fonctionne Qbot?

Le Qbot vu aujourd'hui se présente sous de nombreuses formes différentes, mais est plus particulièrement un cheval de Troie voleur d'informations. Comme leur nom l'indique, les chevaux de Troie infostealer sont conçus pour voler des données précieuses, telles que les informations de paiement, les identifiants de connexion et les coordonnées. Principalement, ce type principal de malware Qbot est utilisé pour voler des mots de passe.

Des variantes de Qbot ont également été observées en train d'enregistrer des frappes, d'accrocher des processus et même d'attaquer des systèmes via des portes dérobées.

Depuis sa création dans les années 2000, Qbot a été modifié pour avoir des capacités de porte dérobée, ce qui en fait d'autant plus une menace. Une porte dérobée est essentiellement un moyen non officiel d'infiltrer un système ou un réseau. Les pirates utilisent souvent des portes dérobées pour mener à bien leurs attaques, car cela leur permet d'accéder plus facilement. "Porte arrière. Qbot" est le nom donné à cette variante de Qbot.

Initialement, Qbot se propageait via le malware Emotet, une autre forme de cheval de Troie. De nos jours, Qbot se propage généralement par le biais de campagnes d'e-mails malveillants via des pièces jointes. De telles campagnes impliquent l'envoi de gros volumes de spams à des centaines, voire des milliers de destinataires, dans l'espoir que certains des utilisateurs ciblés interagiront.

Dans les pièces jointes malveillantes, Qbot a souvent été observé sous la forme d'un fichier .zip contenant un compte-gouttes XLS chargé de macros. Si un destinataire ouvre une pièce jointe malveillante, le logiciel malveillant peut être déployé sur son appareil, souvent à son insu.

Qbot peut également se propager via des kits d'exploitation. Ce sont des outils qui aident les cybercriminels à déployer des logiciels malveillants. Les kits d'exploitation peuvent mettre en évidence les vulnérabilités de sécurité au sein des appareils, puis abuser de ces vulnérabilités pour obtenir un accès non autorisé.

Mais les choses ne s'arrêtent pas au vol de mots de passe et aux portes dérobées. Les opérateurs Qbot ont également joué un rôle important en tant que courtiers d'accès initiaux. Ce sont des cybercriminels qui vendent l'accès au système à d'autres acteurs malveillants. Dans le cas des acteurs Qbot, l'accès a été accordé à certains groupes énormes, dont le REvil rançongiciel en tant que service organisation. En fait, divers affiliés de ransomwares ont été observés en utilisant Qbot comme accès initial au système, donnant à ce malware un autre objectif préoccupant.

Qbot est apparu dans de nombreuses campagnes malveillantes et est utilisé pour cibler une gamme d'industries. Les organismes de santé, les sites Web bancaires, les organismes gouvernementaux et les entreprises manufacturières ont tous été ciblés par Qbot. TrendMicro a rapporté en 2020 que 28,1% des cibles de Qbot se situent dans le domaine de la santé.

Huit autres industries, ainsi que de nombreuses autres industries diverses, relèvent également de la fourchette cible de Qbot, notamment:

• Fabrication.
• Gouvernements.
• Assurance.
• Éducation.
• Technologie.
• Pétrole et gaz.
• Transport.
• Détail.

TrendMicro a également déclaré dans le même rapport que la Thaïlande, la Chine et les États-Unis avaient le plus grand nombre de détections de Qbot en 2020. L'Australie, l'Allemagne et le Japon sont d'autres lieux de détection courants, de sorte que Qbot est évidemment une menace mondiale.

Qbot existe depuis tant d'années parce que ses tactiques d'attaque et d'évasion ont continuellement évolué pour suivre les mesures de cybersécurité modernes. La diversité de Qbot en fait également un énorme danger pour les gens du monde entier, car ils peuvent être ciblés de tant de façons en utilisant ce programme.

Comment éviter les logiciels malveillants Qbot

Il est pratiquement impossible d'éviter les logiciels malveillants à 100 % du temps. Même le meilleur programme antivirus ne peut pas vous protéger indéfiniment des attaques. Mais l'installation d'un logiciel antivirus sur votre appareil jouera un rôle crucial pour vous protéger contre les logiciels malveillants. Cela devrait être considéré comme la première étape en matière de cybersécurité. Alors, quelle est la prochaine étape ?

Étant donné que Qbot se propage généralement par le biais de campagnes de spam, il est important que vous connaissiez les indicateurs de courrier malveillant.

Il existe de nombreux drapeaux rouges qui peuvent exposer un e-mail comme malveillant, à commencer par le contenu. Si une nouvelle adresse vous a envoyé un e-mail contenant un lien ou une pièce jointe, il est sage de rester à l'écart jusqu'à ce que vous sachiez avec certitude qu'elle est digne de confiance. Il y a plusieurs sites de vérification de liens vous pouvez utiliser pour vérifier la légitimité d'une URL afin de savoir si vous pouvez cliquer en toute sécurité.

Les pièces jointes peuvent être tout aussi dangereuses que les liens lorsqu'il s'agit d'infection par des logiciels malveillants, vous devez donc faire attention à elles lorsque vous recevez des e-mails.

Certaines extensions de fichiers joints ont tendance à être utilisées pour propager des logiciels malveillants, notamment .pdf, .exe, .doc, .xls et .scr. Bien qu'il ne s'agisse pas des seules extensions de fichiers utilisées pour l'infection par des logiciels malveillants, elles font partie des types les plus courants, alors gardez un œil sur elles lorsque vous recevez des fichiers joints dans vos e-mails.

Si jamais vous recevez un e-mail d'un nouvel expéditeur qui contient un sentiment d'urgence, vous devez également être sur vos gardes. Les cybercriminels ont tendance à utiliser un langage persuasif dans leurs communications pour pousser les victimes à se conformer.

Par exemple, vous pouvez recevoir un e-mail indiquant que l'un de vos comptes de médias sociaux a été verrouillé en raison de tentatives de connexion répétées. L'e-mail peut recevoir un lien sur lequel vous devez cliquer pour vous connecter à votre compte et le déverrouiller, mais, en réalité, il s'agit d'un site malveillant conçu pour voler les données que vous saisissez (dans ce cas, votre identifiant crédits). Donc, si vous recevez un e-mail particulièrement persuasif, demandez-vous si vous êtes manipulé pour vous conformer, car c'est une possibilité très réelle.

Qbot est une forme majeure de malware

L'augmentation de la polyvalence d'un programme malveillant en fait presque toujours plus une menace, et au fil du temps, la diversification de Qbot en a fait une force dangereuse. Cette forme de malware peut continuer à évoluer au fil du temps, et on ne sait vraiment pas quelles capacités il adaptera ensuite.