Qakbot : quand les malwares usurpent Windows Defender

msn.com – silicon.fr – Qakbot : quand les malwares usurpent Windows Defender.

Par Clément Bohic – silicon.fr – Publié mardi 13 octobre 23020 à 10h00.

© DEFAULT_CREDIT Qakbot Emotet

Le trojan Qakbot a depuis peu un nouveau vecteur de diffusion : un fichier Excel qui contient une alerte semblant émaner de Windows Defender.

Gare aux alertes qui semblent émaner de Windows Defender. À plus forte raison si elles apparaissent dans un document Excel. Il est tentant de tirer cette conclusion au regard de la nouvelle méthode de diffusion de Qakbot.

Ce cheval de Troie bancaire* est actif depuis plus de dix ans. Sa distribution repose essentiellement sur des campagnes de phishing. Mais avec de nombreux vecteurs. Dont, récemment, des archives Zip contenant des scripts VBS malveillants.

Il arrive aussi que la diffusion soit indirecte. Ce fut le cas l’an dernier avec l’appui botnet Emotet. Ça l’est à nouveau, ce dernier s’étant « réveillé » au cours de l’été, après plusieurs mois sans activité.

D’une année sur l’autre, la technique a changé. Emotet se trouve toujours dans une pièce jointe malveillante, mais il s’agit cette fois d’un fichier Excel. À l’ouverture, l’utilisateur se voit signifier que ledit fichier est chiffré ; et prier d’autoriser l’édition, puis les macros pour lancer le déchiffrement.

* Qakbot présente par ailleurs les caractéristiques d’un ver. On trouvera ici l’analyse détaillée d’un échantillon de 2018. On remarquera la connexion préférentielle au C2 par FTP, l’exploitation de certificats signés ou encore l’utilisation de Mimikatz pour le vol d’identifiants.

Lire la Source : https://www.msn.com/fr-fr/actualite/technologie-et-sciences/qakbot-quand-les-malwares-usurpent-windows-defender/ar-BB19XTR9?ocid=msedgntp#image=1

© Par Bernard TRITZ

Une réflexion au sujet de « Qakbot : quand les malwares usurpent Windows Defender »

  1. Vous utilisez Microsoft Office Excel, en un mot : un fait inhabituel se passe, en utilisant Excel, une anomalie d’affichage, on vous demande quelque chose de curieux. Fermez tout, débranchez tout.
    Plus tard lancez immédiatement la mise à jour de Defender, puis rechercher de façon minutieuse, approfondie, le ver ou virus ou malware.
    Prenez garde !

    Bonne journée à vous !

    J'aime

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s