Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Comment Qbot revient en force avec OneNote ?

14 fév. 2023 - 10:08,
Tribune - Charles Blanc-Rolin
Les attaquants derrière le cheval de Troie Qbot (aussi connu sous le nom de Quakbot) utilisent depuis longtemps des fichiers Word ou Excel avec des macros servant à télécharger et exécuter la charge malveillante.

Il y a tout juste un an, Microsoft nous annonçait une nouvelle mesure visant à éviter que les utilisateurs de sa suite Office continuent de se faire piéger par des documents avec des macros [1]. Dans ce but Microsoft a décidé pour tout fichier dont le dernier enregistrement a été fait à partir d’une autre machine que celle sur lequel il est ouvert, de faire disparaître son petit bandeau jaune avec un message d’avertissement et un bouton « Activer le contenu » sur lequel les victimes étaient bien évidemment invitées à cliquer via une notice au format image incluse dans le fichier par les attaquants :

Au profit d’un nouveau bandeau, rouge cette fois-ci indiquant que les macros sont bloquées car le fichier provient d’une source non approuvée :

Pour approuver le fichier, l’utilisateur est dans l’obligation de fermer le document, de se rendre dans les propriétés de ce dernier et de cocher la case « Débloquer » :

La manipulation est déjà plus complexe à faire réaliser aux victimes d’un message de phishing, ce qui semble pénaliser les attaquants qui, vous vous en doutez, on trouvé un moyen de rentrer par la fenêtre après s’être fait sortir par la porte, le comble dans un système Windows.

D’après un récent article publié sur le site de Sophos [2], une nouvelle campagne de distribution de Qbot s’appuyant sur des fichiers OneNote (avec une extension .one) aurait démarrée le 31 janvier dernier.

À partir d’un échantillon ressemblant à celui qui est présenté dans l’article, même s’il présente quelques différences, il est assez intéressant d’observer la façon de procéder, qui est au final, encore plus simpliste que celle consistant à intégrer des macros dans un fichier Word ou Excel.

En regardant de plus près, le « bouton Open » qui n’en est pas un, ne pointe pas vers un lien hypertexte, mais est juste un fichier GIF superposé à un script directement intégré au document lui-même :

Il est assez rigolo de voir comment il est simple de déplacer les éléments intégrés au fichier et de voir apparaître le script caché derrière cette image :

En enregistrant les éléments graphiques présents dans le fichier, on constate que les noms proposés par défaut sont en cyrillique :

En faisant appel à un traducteur en ligne, on n’apprend pas grand-chose du contenu traduit, mais la langue utilisée est confirmée :

En extrayant le script du fichier, on constate qu’il utilise Powershell pour créer un nouveau script dans le répertoire C:\programdata\ à partir d’un contenu encodé en base 64 et l’exécuter dans la foulée :

En décodant le contenu, cela nous permet de connaître l’étape suivante :

Le nouveau script va donc télécharger à l’aide de Powershell là encore, un fichier avec une extension GIF qu’il enregistre sur la machine avec une extension JPG, mais qui semble être en réalité une DLL qu’il va exécuter.

La suite vous la connaissez, connexion à un serveur de commande et de contrôle et les attaquants ont un pied dans le système d’information.

La méthode est simple, rapide et efficace. C’est bien pensé, c’est propre et c’est un joli pied de nez aux contre-mesures mises en place par Microsoft. J’attends avec impatience la solution d’atténuation proposée. Si c’est pour nous dire : « dites à vos collaborateurs de ne pas ouvrir les pièces jointes ou fichiers à télécharger via un lien en provenance d’un message dont l’expéditeur n’est pas connu », comment dire, on fait déjà…

Elle remonte à quand votre dernière campagne de sensibilisation des utilisateurs ?


[1] /article/4581/que-nous-annonce-microsoft-en-2022-pour-securiser-ses-produits.html 

[2] https://news.sophos.com/en-us/2023/02/06/qakbot-onenote-attacks/ 


L'auteur

Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)

Avez-vous apprécié ce contenu ?

A lire également.

Illustration « Restons maîtres de notre destin » - La souveraineté, l’innovation et la résilience du système de santé comme thématiques clés de la matinée Horizon Santé 360

« Restons maîtres de notre destin » - La souveraineté, l’innovation et la résilience du système de santé comme thématiques clés de la matinée Horizon Santé 360

20 oct. 2025 - 15:51,

Actualité

- Par Pauline Nicolas, DSIH

La 3ème édition d’Horizon Santé 360 s’est ouverte le jeudi 9 octobre 2025 et a réuni plus de 550 acteurs du secteur de la santé (établissements de santé, industrie pharmaceutique, institutionnels, consultants, industriels, start-up). Cette journée a débuté par une conférence introductive de Dominiqu...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration L'École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite

L'École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite

06 oct. 2025 - 10:50,

Communiqué

- EHESP

Dans un contexte d’accélération de la transformation numérique du système de santé, l’École des hautes études en santé publique (EHESP) propose une nouvelle formation continue courte et inédite à destination des équipes dirigeantes d’établissements sanitaires, sociaux et médico-sociaux.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.