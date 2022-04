Le malware QBot, caché dans des installateurs Windows malveillants, réserve une mauvaise surprise.



Un autre jour, une autre menace de logiciel malveillant. Avez-vous déjà remarqué comment, lorsque vous ouvrez un lien par e-mail, l'argent de votre compte bancaire s'envole ? Cela ne devrait pas arriver, mais si c'est le cas, c'est probablement grâce à la nouvelle méthode de distribution de QBot.







Vous vous dites peut-être : "Je suis assez intelligent pour savoir que je ne dois pas cliquer sur des liens douteux", mais cela ne veut pas dire que la tactique ne fonctionne pas. Les développeurs de logiciels malveillants le savent depuis des années, et il s'agit souvent d'un mode de diffusion privilégié pour les logiciels malveillants. Les distributeurs d'un cheval de Troie bancaire bien connu, QBot, ont décidé d'arrêter d'utiliser l'une de ses méthodes de distribution prolifiques, à savoir les "pièces jointes Office douteuses", et d'envoyer aux gens des fichiers zip contenant des installateurs Windows. Plus précisément des installateurs MSI.







Microsoft a réalisé une étude sur le malware QBot en décembre 2021, soulignant qu'il est populaire parmi les distributeurs de malware en raison de sa nature modulaire. Cette nature modulaire permet aux distributeurs de choisir des ensembles de fonctionnalités, ce qui leur permet également de les modifier pour les rendre plus difficiles à détecter. Les chercheurs en sécurité pensent toutefois que cette évolution des méthodes de distribution est liée au fait que Microsoft a désactivé VBscript par défaut dans Microsoft Office.



QBot, selon BleepingComputer, est le plus souvent utilisé dans les efforts visant à affecter les grandes entreprises. C'est souvent le logiciel malveillant de prédilection de nombreux groupes de ransomware également, et parce qu'il peut attaquer les comptes administrateurs Active Directory. Il peut également se propager au sein des réseaux. Il s'agit d'un logiciel particulièrement méchant. Certaines méthodes d'attaque courantes sont également combinées avec ce qui ressemble à des e-mails légitimes provenant d'une version usurpée d'un contact de confiance. Ils peuvent également ressembler à un "partage de fichiers sécurisé", et même à des partages de fichiers Google Drive, OneDrive ou DropBox.







Les meilleures pratiques pour vous protéger et, si vous êtes administrateur système, pour protéger vos utilisateurs, consistent à éduquer. Insistez sur le fait qu'il ne faut pas cliquer sur des liens provenant de parties inconnues, vérifiez toujours deux fois le champ "de" dans votre courrier électronique, et faites attention aux fautes de frappe et de grammaire évidentes. Bien entendu, n'ouvrez pas les pièces jointes si vous n'en attendez pas une, et n'ouvrez surtout pas de fichiers ou d'installateurs dont vous n'êtes pas certain de la provenance. Dans la plupart des organisations, il est préférable de maintenir une politique d'envoi régulier d'informations à ce sujet.



HOTHARDWARE