Attention à ce virus qui se cache dans la calculatrice de Windows
Pc-secours est un professionnel référencé dans la liste des spécialistes du réseau CYBERMALVEILLANCE.GOUV.FR
Nous pouvons vous assister et vous conseiller pour tout ce qui concerne la cybersecurité
Pc-secours peut vous conseiller dans le choix de votre solution Antivirus pour Windows, macOS, Android et iOS.
Le cheval de Troie bancaire Qbot reprend du service dans une nouvelle attaque. Grâce à une technique appelée sideloading, les pirates peuvent infecter les ordinateurs de leurs victimes avec une simple copie de la calculatrice de Windows…
L’un des malwares bancaires les plus répandus utilise désormais la calculatrice pour infecter les ordinateurs qui fonctionnent avec Windows. Baptisé Qbot ou Qakbot, il s’agit d’un cheval de Troie bancaire détecté pour la première fois en 2009, et qui a beaucoup évolué depuis. Il peut notamment enregistrer les frappes au clavier et voler mots de passe et informations bancaires.
L’attaque semble être assez ciblée puisqu’elle utilise le thread hijacking, qui s’appuie sur un compte de messagerie compromis. Il reprend les fils de discussions trouvés dans la boîte de réception et y répond avec le malware en pièce jointe. La victime reçoit donc un e-mail d’un expéditeur connu faisant suite à un échange.
La technique s’appuie sur une série de fichiers imbriquées les uns dans les autres comme des poupées russes. La victime reçoit un e-mail avec une pièce jointe au format HTML (page Web). Une fois ouverte, elle télécharge un dossier compressé (.ZIP), affiche un message d’erreur faisant croire à une erreur d’ouverture d’un fichier PDF et demande d’ouvrir le fichier téléchargé en utilisant un mot de passe. Ce dernier permet d’éviter la détection par l’antivirus qui ne pourra pas en analyser le contenu.
Ce fichier HTML est envoyé par e-mail en pièce jointe pour faire croire à un document, mais télécharge le malware Qbot. © BRoxyLife et Cyble
Une utilisation détournée de la calculatrice
Le dossier compressé contient un fichier ISO qui, une fois ouvert, est monté par le système comme un CD-ROM. Il contient un raccourci (.lnk) dont l’icône a été modifiée pour ressembler à un document PDF ou une page Web. Il contient également trois fichiers cachés : une copie tout à fait ordinaire de la calculatrice (calc.exe) et deux fichiers DLL, WindowsCodecs.dll et un second avec un chiffre aléatoire. Dans l’exemple analysé, il s’agit de 7533.dll.
À partir d’ici, les pirates utilisent une technique appelée sideloading (ou chargement latéral), qui consiste à passer par un programme légitime pour charger des fichiers infectés. Dans ce cas, le malware est contenu dans le fichier 7533.dll. À moins d’avoir activé l’affichage des fichiers cachés, la victime ne voit que le raccourci qui se fait passer pour un document. En l’ouvrant, il lance la copie de calc.exe qui va charger des éléments système, dont WindowsCodecs.dll. Normalement, ce dernier est un fichier légitime dans les dossiers de Windows, mais la calculatrice vérifie d’abord son dossier local, et donc charge en priorité la version modifiée qui a été téléchargée.
Un malware qui peut en cacher un autre
Enfin, le fichier DLL modifié permet d’utiliser la calculatrice pour lancer l’éditeur de registre (regsvr32.exe) afin de charger le dernier fichier (7533.dll) qui contient le malware Qbot. Celui-ci peut alors infecter l’explorateur de fichiers de Windows (explorer.exe) et procéder au vol d’informations. D’ailleurs, Qbot n’est pas uniquement un cheval de Troie bancaire. Au fil des années, ce malware a également reçu une fonction de dropper, c’est-à-dire qu’il peut servir à installer d’autres malwares. Il a notamment déjà été utilisé pour implanter RansomExx, Maze, ProLock, Egregor ou encore Black Basta.
Cette attaque ne fonctionne pas avec la calculatrice de Windows 10 et 11, Microsoft ayant déjà rectifié cette faille. Toutefois, le fichier téléchargé contient la version de la calculatrice de Windows 7 qui permet d’utiliser cette technique pour infecter les versions les plus récentes de Windows. Pour éviter cette attaque, il faut suivre les recommandations habituelles : vérifiez que votre antivirus est à jour, et ne jamais ouvrir une pièce jointe si vous ne savez pas ce que c’est, même si vous connaissez l’expéditeur.
Source : futura-sciences.com
Attention à ce malware sur Discord, il vole vos données bancaires et fait des achats à votre insu
Attention à ce malware sur Discord, il vole vos données bancaires et fait des achats à votre insuDiscord est une plateforme de VoIP et de chat créée par et pour la communauté. Elle compte pas moins de 300 millions d’utilisateurs réguliers, et les développeurs...
Chrome : mettez-vous à jour maintenant, une faille critique et exploitée doit être corrigée !
Chrome : mettez-vous à jour maintenant, une faille critique et exploitée doit être corrigée !Google a déployé en urgence une mise à jour visant à corriger au plus vite une faille activement exploitée sur Chrome. Si vous utilisez le navigateur, vous être chaudement...
Impôts : l’arnaque du faux remboursement frappe encore
Impôts : l’arnaque du faux remboursement frappe encoreAlors que la campagne 2023 de déclaration des revenus va ouvrir ses portes, les arnaques aux faux remboursements viennent de faire le retour. C'est devenu une rengaine à chaque ouverture de la déclaration...
Un e-mail de YouTube ? Attention, c’est peut-être du phishing !
Un nouvel e-mail de phishing très réussi prenant l'identité de YouTube circule actuellement.Un nouvel e-mail de phishing très réussi prenant l'identité de YouTube circule actuellement. Les hackers ont l'habitude d'essayer de récolter vos informations en envoyant des...
Windows est victime d’une faille de sécurité vieille de 10 ans, attention à CVE-2013-3900
Windows est victime d’une faille de sécurité vieille de 10 ans, attention à CVE-2013-3900Windows est victime d’une défaillance de sécurité vieille de 10 ans. Des logiciels malveillants l’exploitent actuellement. Un correctif est pourtant disponible. Le système...
Windows 10 et 11 : installez vite ce correctif de sécurité si vous voulez éviter l’aCropalypse
Windows 10 et 11 : installez vite ce correctif de sécurité si vous voulez éviter l’aCropalypseLes mises à jour des outils de Capture d’écran de Windows 10 et 11 publiées par Microsoft font office de correctif de sécurité. Installez-les rapidement pour avoir l’esprit...
Vous connaissiez le Phishing ? Attendez de voir ce que vous réserve le Quishing
Vous connaissiez le Phishing ? Attendez de voir ce que vous réserve le QuishingLe « quishing », très populaire évolution du phishing, utilise des QR codes pour tromper les utilisateurs et accéder à leurs informations sensibles. Une vigilance accrue est de mise, pour...
