Un groupe de chercheurs a découvert une nouvelle version du cheval de Troie Qakbot avec de nouvelles fonctionnalités, car il a la capacité d’exploiter une vulnérabilité Zero Day de Windows et d’élever les privilèges du système d’exploitation.
Les experts de Kaspersky ont reconnu le 1er avril une possible vulnérabilité du système d’exploitation développé par Microsoft à travers un document mis en ligne sur la plateforme VirusTotal, qui décrivait un processus d’exploitation identique à « l’exploit » d’une autre faille, CVE-2023-36033.
Bien qu’ils soupçonnaient que la nouvelle faille pourrait être fictive ou inexploitable, l’équipe a poursuivi son enquête et a averti que la vulnérabilité, enregistrée sous le numéro CVE-2024-30051, était capable d’élever les privilèges du système d’exploitation.
Kaspersky a alors commencé à surveiller les attaques de sécurité utilisant cette faille et, à la mi-avril, a détecté un exploit, car il a été observé qu’il était utilisé avec Qakbot et d’autres logiciels malveillants.
QakBot est un « malware » actif depuis 2007, également connu sous le nom de QBot ou Pinkslipbot, qui se propage depuis le début via des « emails » contenant des liens malveillants, avec lesquels il parvient à infecter l’équipement informatique des victimes.
Bien que son objectif principal soit de saisir les informations de connexion pour les services bancaires en ligne, il a également été utilisé comme mécanisme de transmission d’autres types de logiciels malveillants et peut agir comme un cheval de Troie d’accès à distance (RAT).
De même, la société de cybersécurité a précisé dans un communiqué que ce cheval de Troie a acquis une nouvelle fonctionnalité, le « keylogging », c’est-à-dire qu’il exécute un programme en arrière-plan pour enregistrer les frappes utilisées par les victimes. Également le vol d’e-mails et la possibilité de propager et d’installer des « ransomwares ».
Il a ainsi rappelé que ce « malware », désormais dirigé contre le système d’exploitation de Microsoft, est connu « pour ses fréquentes mises à jour et améliorations, ce qui en fait une menace persistante dans le paysage de la sécurité », selon le communiqué.
Il a également déclaré que, ces dernières années, on a observé que Qakbot utilise d’autres « botnets », comme Emotet, pour sa distribution. Pour cette raison, il a mis à jour ses services, avec des versions capables de détecter l’exploitation du CVE-2024-30051.
