{"id":17313,"date":"2021-07-12T11:04:37","date_gmt":"2021-07-12T09:04:37","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17313"},"modified":"2021-07-12T11:04:37","modified_gmt":"2021-07-12T09:04:37","slug":"icedid-qbot-banking-trojans-in-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/icedid-qbot-banking-trojans-in-spam\/17313\/","title":{"rendered":"Des chevaux de Troie bancaires trouv\u00e9s dans un business wrapper"},"content":{"rendered":"

Les employ\u00e9s qui re\u00e7oivent des centaines d\u2019e-mails sont souvent tent\u00e9s de les lire rapidement et de t\u00e9l\u00e9charger les fichiers joints sans les analyser. Les cybercriminels, bien entendu, profitent de cette situation et envoient des documents soi-disant importants qui peuvent contenir tout et n\u2019importe quoi, comme des \u00a0liens d\u2019hame\u00e7onnage<\/a> qui redirigent vers un malware. R\u00e9cemment, nos experts ont d\u00e9couvert<\/a> deux campagnes de spam qui diffusent les chevaux de Troie bancaires<\/a> IcedID et Qbot.<\/p>\n

Des spams contenant des fichiers malveillants<\/h2>\n

Les deux campagnes ressemblent \u00e0 des messages de correspondance commerciale. Dans la premi\u00e8re, les cybercriminels demandent un d\u00e9dommagement pour une chose invent\u00e9e ou alors ils mentionnent une op\u00e9ration annul\u00e9e. Au message est joint un fichier Excel compress\u00e9, nomm\u00e9 DemandeD\u00e9dommagement suivi de plusieurs num\u00e9ros. La deuxi\u00e8me campagne concerne des paiements et des contrats et contient un lien qui redirige vers le site web pirat\u00e9 sur lequel se trouve le document.<\/p>\n

Dans les deux cas, le but des cybercriminels est d\u2019inciter le destinataire \u00e0 ouvrir le fichier malveillant au format Excel et d\u2019ex\u00e9cuter la macro qui se trouve \u00e0 l\u2019int\u00e9rieur afin d\u2019installer IcedID (la plupart du temps) ou bien Qbot sur l\u2019ordinateur de la victime.<\/p>\n

<\/strong><\/p>\n

IcedID et Qbot<\/h2>\n

Les chevaux de Troie IcedID et Qbot sont l\u00e0 depuis des ann\u00e9es. IcedID a attir\u00e9 l\u2019attention des chercheurs<\/a> en 2017 et Qbot en 2008<\/a>. De plus, les cybercriminels sont constamment \u00e0 la recherche de nouvelles techniques. Par exemple, il y a quelques temps, ils ont dissimul\u00e9 le composant principal d\u2019IcedID dans une image au format PNG via une m\u00e9thode que l\u2019on appelle la st\u00e9ganographie<\/a>, ce qui le rend assez difficile \u00e0 d\u00e9tecter.<\/p>\n

Aujourd\u2019hui, ces malwares sont disponibles sur les march\u00e9s parall\u00e8les et en plus de leurs cr\u00e9ateurs, de nombreux clients distribuent \u00e9galement ces chevaux de Troie. Le r\u00f4le principal du malware est de voler les coordonn\u00e9es ainsi que les identifiants des comptes bancaires et notamment ceux des entreprises (c\u2019est pour cette raison que les e-mails ressemblent \u00e0 des e-mails commerciaux). Afin de remplir leur r\u00f4le, les chevaux de Troie peuvent fonctionner de plusieurs fa\u00e7ons. Ils peuvent par exemple\u00a0:<\/p>\n