Résumé

Le laboratoire de sécurité Hornetsecurity a détecté l’utilisation de macros XLM dans les documents XLSB pour distribuer le malware QakBot. Étant donné que les macros XLM ainsi que le format de document XLSB sont rares, ces nouveaux documents malveillants ont un taux de détection statique très faible par les solutions antivirus actuelles.

Contexte

QakBot (également connu sous le nom de QBot, QuakBot, Pinkslipbot) existe depuis 2008. Il est distribué via Emotet, c’est-à-dire, Emotet téléchargera le chargeur QakBot sur les victimes déjà infectées par Emotet. Mais il est également distribué directement par e-mail. À cette fin, il utilise le détournement de fil de conversation par e-mail dans ses campaignes1, c’est-à-dire qu’il répondra aux e-mails qu’il trouve dans les boîtes aux lettres de sa victime. QakBot est connu pour intensifier les intrusions en téléchargeant le Prolock ransomware2.

La chronologie suivante montre les événements récents relatifs à QakBot:

 Chronologie des événements QakBot

La chaîne d’infection de QakBot est la suivante:

 Chaîne d'infection de QakBot

QakBot utilise des macros XLM (également connues sous le nom de macros Excel 4) pendant un certain temps.

Analyse technique

Le 15/10/2020 vers 12h40 UTC, une campagne malspam distribuant QakBot à l’aide de documents XLSB a été observée.

XLSB est un fichier de classeur binaire Excel. Son utilisation principale est de rendre la lecture et l’écriture du fichier beaucoup plus rapides et de réduire la taille de très grandes feuilles de calcul. Cependant, avec la puissance de calcul actuelle et la disponibilité du stockage, le besoin de ce format binaire a diminué et ils sont aujourd’hui rarement utilisés.

En combinant cela avec les macros XLM anciennes et donc pas très bien détectées, les documents actuels ne sont pas reconnus par aucun AV répertorié sur VirusTotal:

 Document QakBot XLSB non détecté sur VirusTotal

Les outils d’analyse de logiciels malveillants de documents courants tels que OLEVBA ne reconnaissent pas les macros XLM au format XLSB:

 Document QakBot XLSB non détecté par OLEVBA

Cependant, la prise en charge des macros XLM dans les fichiers XLSB se trouve sur la feuille de route d’OLEVBA 3.

Même l’outil XLMMacroDeobfuscator (spécialisé dans l’analyse des macros XLM malveillantes), qui prend en charge le format XLSB4, a des problèmes avec le fichier XLSB de QakBot:

 Le document QakBot XLSB n'a pas été détecté par XLMMacroDeobfuscator

Mais comme d’habitude, le bogue dans XLMMacroDeobfuscator a été rapidement fonctionné5.

Les fichiers QakBot XLSB sont livrés via le fil de conversation QakBot classique hijacking1 dans un fichier ZIP joint:

 E-mail QakBot délivrant un fichier XLSB

Le fichier ZIP contient le document XLSB qui, une fois ouvert, prétend être crypté par DocuSign et l’utilisateur doit « Activer l’édition » et « Activer le contenu » pour le déchiffrer:

 Document QakBot XLSB

Lorsque l’utilisateur le fait, une macro XLM Auto_Open dans le document est lancée, qui téléchargera le chargeur QakBot:

 Macro QakBot XLM

L’URL est assemblée via la macro XLM et prétend télécharger un fichier PNG:

 Téléchargement du chargeur QakBot déguisé en téléchargement PNG

En réalité, le fichier PNG est l’exécutable du chargeur QakBot. Hornetsecurity a déjà signalé le chargeur QakBot et suivi des logiciels malveillants tels que ProLock ransomware2.

Conclusion et contre-mesures

Tout comme la réémergence des macros XLM anciennes et de nos jours moins courantes utilisées par les acteurs malveillants, l’utilisation des documents XLSB inhabituels conduit à nouveau à des taux de détection plus faibles par les solutions de sécurité, qui se concentrent principalement sur les macro-logiciels malveillants VBA modernes les plus courants.

Cependant, le temps de réponse rapide de Hornetsecurity aux nouvelles menaces émergentes et la protection contre les logiciels malveillants zero-day offrent à ses clients un bouclier robuste contre les campagnes malspam inédites et les nouveaux types d’attaques. Les utilisateurs de la protection contre le spam et les logiciels malveillants de Hornetsecurity sont protégés contre le document QakBot XLSB.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002 – Fichier malveillant
TA0003 – Persistance T1053.005 – Tâche planifiée
TA0003 – Persistance T1547.001 – Clés d’exécution du Registre / Dossier de démarrage
TA0004 – Escalade de privilèges T1053.005 – Tâche planifiée
TA0005 – Évasion de défense T1027.002 – Emballage logiciel
TA0005 – Évasion de défense T1055 – Injection de processus
TA0005 – Évasion de défense T1055.012 – Processus de Creusage
TA0005 – Évasion de défense T1497.001 – Vérifications du système
TA0006 – Accès aux informations d’identification T1003 – Dumping des informations d’identification du système d’exploitation
TA0006 – Accès aux informations d’identification T1110.001 – Deviner le mot de passe
TA0006 – Accès aux informations d’identification T1555.003 – Informations d’identification des navigateurs Web
TA0007 – Découverte T1016 – Découverte de la Configuration Réseau du système
TA0011 – Commande et contrôle T1071.001 – Protocoles Web
TA0011 – Commande et contrôle T1090 – Proxy
TA0011 – Commande et contrôle T1090.002 – Proxy externe