Publicité en cours de chargement...
Comment Qbot revient en force avec OneNote ?
Il y a tout juste un an, Microsoft nous annonçait une nouvelle mesure visant à éviter que les utilisateurs de sa suite Office continuent de se faire piéger par des documents avec des macros [1]. Dans ce but Microsoft a décidé pour tout fichier dont le dernier enregistrement a été fait à partir d’une autre machine que celle sur lequel il est ouvert, de faire disparaître son petit bandeau jaune avec un message d’avertissement et un bouton « Activer le contenu » sur lequel les victimes étaient bien évidemment invitées à cliquer via une notice au format image incluse dans le fichier par les attaquants :
Au profit d’un nouveau bandeau, rouge cette fois-ci indiquant que les macros sont bloquées car le fichier provient d’une source non approuvée :
Pour approuver le fichier, l’utilisateur est dans l’obligation de fermer le document, de se rendre dans les propriétés de ce dernier et de cocher la case « Débloquer » :
La manipulation est déjà plus complexe à faire réaliser aux victimes d’un message de phishing, ce qui semble pénaliser les attaquants qui, vous vous en doutez, on trouvé un moyen de rentrer par la fenêtre après s’être fait sortir par la porte, le comble dans un système Windows.
D’après un récent article publié sur le site de Sophos [2], une nouvelle campagne de distribution de Qbot s’appuyant sur des fichiers OneNote (avec une extension .one) aurait démarrée le 31 janvier dernier.
À partir d’un échantillon ressemblant à celui qui est présenté dans l’article, même s’il présente quelques différences, il est assez intéressant d’observer la façon de procéder, qui est au final, encore plus simpliste que celle consistant à intégrer des macros dans un fichier Word ou Excel.
En regardant de plus près, le « bouton Open » qui n’en est pas un, ne pointe pas vers un lien hypertexte, mais est juste un fichier GIF superposé à un script directement intégré au document lui-même :
Il est assez rigolo de voir comment il est simple de déplacer les éléments intégrés au fichier et de voir apparaître le script caché derrière cette image :
En enregistrant les éléments graphiques présents dans le fichier, on constate que les noms proposés par défaut sont en cyrillique :
En faisant appel à un traducteur en ligne, on n’apprend pas grand-chose du contenu traduit, mais la langue utilisée est confirmée :
En extrayant le script du fichier, on constate qu’il utilise Powershell pour créer un nouveau script dans le répertoire C:\programdata\ à partir d’un contenu encodé en base 64 et l’exécuter dans la foulée :
En décodant le contenu, cela nous permet de connaître l’étape suivante :
Le nouveau script va donc télécharger à l’aide de Powershell là encore, un fichier avec une extension GIF qu’il enregistre sur la machine avec une extension JPG, mais qui semble être en réalité une DLL qu’il va exécuter.
La suite vous la connaissez, connexion à un serveur de commande et de contrôle et les attaquants ont un pied dans le système d’information.
La méthode est simple, rapide et efficace. C’est bien pensé, c’est propre et c’est un joli pied de nez aux contre-mesures mises en place par Microsoft. J’attends avec impatience la solution d’atténuation proposée. Si c’est pour nous dire : « dites à vos collaborateurs de ne pas ouvrir les pièces jointes ou fichiers à télécharger via un lien en provenance d’un message dont l’expéditeur n’est pas connu », comment dire, on fait déjà…
Elle remonte à quand votre dernière campagne de sensibilisation des utilisateurs ?
[1] /article/4581/que-nous-annonce-microsoft-en-2022-pour-securiser-ses-produits.html
[2] https://news.sophos.com/en-us/2023/02/06/qakbot-onenote-attacks/
L'auteur
Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.