{"id":20466,"date":"2023-04-20T09:57:12","date_gmt":"2023-04-20T07:57:12","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20466"},"modified":"2023-04-20T09:57:12","modified_gmt":"2023-04-20T07:57:12","slug":"qbot-pdf-mailout","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/qbot-pdf-mailout\/20466\/","title":{"rendered":"Le cheval de Troie QBot est distribu\u00e9 par e-mail professionnel"},"content":{"rendered":"<p>D\u00e9but avril, les experts de Kaspersky ont d\u00e9couvert une campagne d\u2019envoi de masse de messages avec un fichier PDF malveillant en pi\u00e8ce jointe. Les cybercriminels s\u2019en prennent aux entreprises\u00a0: un document dangereux est joint au message professionnel (que nous avons vu r\u00e9dig\u00e9 en anglais, allemand, italien et fran\u00e7ais). Cette campagne cherche \u00e0 infecter les ordinateurs des victimes avec le programme malveillant QBot, aussi connu comme QakBot, QuackBot ou Pinkslipbot. Curieusement, il y a environ un an, nos experts <a href=\"https:\/\/www.kaspersky.fr\/blog\/qbot-emotet-spam-mailing\/18798\/\" target=\"_blank\" rel=\"noopener\">avaient constat\u00e9 une hausse soudaine similaire<\/a> dans le flux d\u2019e-mails qui distribuaient un programme malveillant (dont QBot).<\/p>\n<h2>Comment la victime per\u00e7oit l\u2019attaque<\/h2>\n<p>L\u2019attaque repose sur des techniques de \u00ab\u00a0d\u00e9tournement des conversations\u00a0\u00bb. Les cybercriminels arrivent \u00e0 acc\u00e9der aux vrais messages professionnels (QBot vole notamment les e-mails sauvegard\u00e9s localement sur les ordinateurs que les victimes ont utilis\u00e9s auparavant) et rejoignent la conversation en envoyant des messages comme s\u2019ils \u00e9taient l\u00e0 depuis longtemps. Les messages tentent de convaincre les victimes d\u2019ouvrir le fichier PDF joint en indiquant qu\u2019il s\u2019agit de la liste des frais ou de tout autre document important pour l\u2019entreprise qui exige une r\u00e9ponse rapide.<\/p>\n<p>En r\u00e9alit\u00e9, le PDF est l\u2019imitation d\u2019une notification de Microsoft Office 365 ou Microsoft Azure. Cette notification invite la victime \u00e0 cliquer sur le bouton \u00ab\u00a0Ouvrir\u00a0\u00bb. Si la victime le fait, une archive prot\u00e9g\u00e9e par un mot de passe est t\u00e9l\u00e9charg\u00e9e sur l\u2019ordinateur (et le mot de passe se trouve dans le texte de la \u00ab\u00a0notification\u00a0\u00bb). Ensuite, le destinataire va certainement d\u00e9compresser l\u2019archive et ex\u00e9cuter le fichier .wsf (Windows Script File) qui se trouve \u00e0 l\u2019int\u00e9rieur. Ce script malveillant t\u00e9l\u00e9charge le programme malveillant QBot depuis un serveur \u00e0 distance. Vous trouverez une description technique plus d\u00e9taill\u00e9e de chaque \u00e9tape de l\u2019attaque ainsi que les indicateurs de compromission <a href=\"https:\/\/securelist.com\/qbot-banker-business-correspondence\/109535\/\" target=\"_blank\" rel=\"noopener\">sur le site Securelist<\/a>.<\/p>\n<h2>Quelles peuvent \u00eatre les cons\u00e9quences d\u2019une infection par QBot ?<\/h2>\n<p>Nos experts classent QBot comme un cheval de Troie bancaire. Il permet aux cybercriminels de miner les identifiants (nom d\u2019utilisateur et mot de passe) et les cookies des navigateurs, de voler les messages, d\u2019espionner les activit\u00e9s bancaires et d\u2019enregistrer les frappes de touches. Il peut aussi installer un autre programme malveillant, comme un ran\u00e7ongiciel par exemple.<\/p>\n<h2>Comment vous prot\u00e9ger ?<\/h2>\n<p>Pour prot\u00e9ger votre entreprise contre les cybercriminels, nous vous conseillons d\u2019installer une <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solution de cybers\u00e9curit\u00e9<\/a> fiable sur tous les dispositifs d\u2019entreprise connect\u00e9s \u00e0 Internet. Il est aussi pratique d\u2019\u00e9quiper la passerelle de messagerie d\u2019un <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security\/mail-server?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_link____mailserver___\" target=\"_blank\" rel=\"noopener\">produit capable de filtrer les spams et les e-mails malveillants ou d'hame\u00e7onnage<\/a>. Enfin, pour donner \u00e0 vos employ\u00e9s les moyens d\u2019identifier eux-m\u00eames les astuces des cybercriminels, il convient d\u2019organiser r\u00e9guli\u00e8rement des <a href=\"https:\/\/k-asap.com\/fr\/?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">formations sur les menaces informatiques modernes<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les cybercriminels distribuent le cheval de Troie QBot par message professionnel.<\/p>\n","protected":false},"author":2730,"featured_media":20467,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,686],"tags":[1240,161,505],"class_list":{"0":"post-20466","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-threats","10":"tag-banquiers","11":"tag-cheval-de-troie","12":"tag-e-mail"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/qbot-pdf-mailout\/20466\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/qbot-pdf-mailout\/25510\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/qbot-pdf-mailout\/20942\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/qbot-pdf-mailout\/28126\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/qbot-pdf-mailout\/25816\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/qbot-pdf-mailout\/26224\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/qbot-pdf-mailout\/28710\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/qbot-pdf-mailout\/35113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/qbot-pdf-mailout\/47902\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/qbot-pdf-mailout\/21139\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/qbot-pdf-mailout\/30032\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/qbot-pdf-mailout\/26144\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/qbot-pdf-mailout\/31821\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/qbot-pdf-mailout\/31507\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/cheval-de-troie\/","name":"cheval de troie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20466","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2730"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=20466"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20466\/revisions"}],"predecessor-version":[{"id":20470,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/20466\/revisions\/20470"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/20467"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=20466"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=20466"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=20466"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}