Ce dangereux malware revient 3 mois à peine après sa fin annoncée
Malgré une opération de grande envergure menée par le FBI avec l'appui de plusieurs pays dont la France, le malware Qakbot revient 3 mois seulement après sa suppression supposée.
À l'été 2022, nous vous racontions la découverte d'un malware savamment caché dans la calculatrice de Windows. Nommé Qakbot, il refaisait parler de lui début 2023 via de faux fichiers OneNote. Devant l'ampleur que ce botnet était en train de prendre, le FBI américain décidait de lancer une opération de grande envergure avec le soutien des autorités de plusieurs pays : France, Royaume-Uni, Allemagne, Pays-Bas et Lettonie. En août, l'agence fédérale annonce que le malware n'est plus une menace après la saisie de son infrastructure et de 20 portefeuilles de cryptomonnaies associés aux pirates responsables. Aucune arrestation n'est faite en revanche.
Le FBI, qui disait de l'opération qu'elle était “la plus importante opération technologique et financière jamais menée par le ministère de la Justice contre un botnet”, était trop optimiste. Qakbot est de retour à peine 3 mois plus tard. Il a été repéré par plusieurs équipes d'experts en cybersécurité, dont celles de Microsoft, depuis le 28 novembre. Une nouvelle campagne de phishing a été lancée le 11 décembre. Bien que faible en volumes, elle est toujours en cours.
Un puissant malware pourtant annoncé comme supprimé revient 3 mois après
Les pirates visent le secteur de l'hôtellerie avec des mails. Ils contiennent des fichiers PDF infectés en pièce jointe reproduisant les documents envoyés par l'IRS, l'agence des impôts américaine. Une fois ouvert, un message d'erreur survient indiquant qu'il n'est pas possible d'afficher un aperçu du fichier. La victime est invitée à récupérer ce dernier en cliquant sur un bouton “AbodeCloud”. C'est là que le malware est téléchargé et infecte la machine pour voler les données privées qu'elle contient.
La résurgence de Qakbot montre à quel point il est extrêmement difficile de se débarrasser définitivement d'un malware. C'est ce qu'il s'est passé avec Emotet, puissant botnet apparu en 2017 qui n'a cessé de refaire surface au fil des ans. Lui et Qakbot sont certes moins virulents et surtout moins répandus désormais, mais peuvent tout de même faire de gros dégâts. Selon la plupart des experts, mettre réellement fin à un malware prend plusieurs années, quand on y arrive.
Source : The Register