Quel point commun entre Fujifilm, JPS, et un office notarial français ? Qbot.

Début juin, Vitali Kremez et Yelisey Boguslavskiy, d’Advanced Intel, révélaient avoir trouvé des indications de compromission par Qbot chez Fujifilm et JBS remontant au mois d’avril, plusieurs mois donc, avant que l’un et l’autre ne soient attaqués à l’aide du ransomware Sodinokibi, du groupe REvil.

Qbot est l’un des successeurs d’Emotet. Initialement, il s’agit d’un cheval de Troie bancaire. Mais il a évolué bien au-delà, jusqu’à devenir un maliciel modulaire capable de vol et d’exfiltration de données sensibles : « les mécanismes du botnet recouvrent notamment l’exploitation de fils de mails détournés pour commencer à diffuser l’infection ».

En somme, le poste de travail d’une victime est compromis, puis Qbot fouille dans les e-mails. Il en extrait quelques informations qui sont transmises à un centre de commande et de contrôle. Celui-ci les traite, notamment pour notamment déterminer les prochaines cibles, ainsi que les noms d’expéditeurs et intitulés de messages utilisés pour les approcher. Il transmet ensuite l’ordre à d’autres machines compromises, membres du botnet à leur insu, d’adresser des courriels piégés ainsi composés. On parle de malspam.

L’un de nos lecteurs a récemment attiré notre attention sur des courriels suspects reçus d’un émetteur ressemblant, de prime abord, à son notaire. Un examen rapide de ces e-mails montre que cette identité est usurpée : l’adresse e-mail de l’expéditeur ne correspond en rien à celle dudit notaire. Et aucun des courriels étudiés n’est sorti des serveurs de messagerie du notariat. L’un est en fait parti d’un serveur mutualisé outre-Atlantique, tandis que l’autre est venu d’un serveur de messagerie d’une PME italienne.

Tous les e-mails étudiés comportaient un lien vers un fichier à télécharger, lui-même nommé en utilisant le nom et le prénom du destinataire. Mais au moins l’un des hôtes d’hébergement de ces fichiers est connu de la base de données URLhaus d’Abuse.ch : il a été signalé par le collectif Cryptolaemus. Et le fichier hébergé est lié à Qbot – aussi appelé Qakbot.

Dès lors, pour Yelisey Boguslavskiy, cela ne fait pas de doute : un poste de travail de l’office notarial français concerné a bel et bien été – et est peut-être encore – compromis par Qbot. Lequel cherche à se propager via la correspondance du notaire concerné, à son insu. Et avec d’autant plus de discrétion qu’il n’utilise pas l’infrastructure du Conseil national du notariat.