Passer au contenu

Les hackers de Black Basta détournent une fonctionnalité de Windows pour propager des malwares

Microsoft met en garde contre les pirates de Black Basta. Le gang s’appuie sur la fonctionnalité Quick Assist de Windows pour propager des ransomwares à l’aide du malware Qakbot.

Microsoft a découvert que Black Basta, un gang de pirates spécialisés dans les ransomwares, exploitait une fonctionnalité intégrée à Windows 10 et Windows 11. La fonction, baptisée Quick Assist, permet à une personne d’aider un utilisateur à distance en prenant le contrôle de son ordinateur de manière sécurisée. Détournée par les pirates, elle permet d’installer des logiciels malveillants qui conduisent à l’arrivée du ransomware Black Basta sur l’ordinateur.

À lire aussi : les pirates russes de Forest Blizzard exploitent une faille de Windows pour voler des mots de passe

Une escroquerie qui démarre au téléphone

Dans un premier temps, les cybercriminels vont inonder l’adresse mail de leur cible avec des courriels. Ils entrent alors en contact avec leur victime en se faisant passer pour l’assistance de Microsoft. Les pirates passent un appel téléphonique à la cible en « prétendant offrir de l’aide pour remédier au problème de spam ». Cette combinaison d’événements endort la méfiance des utilisateurs.

Comme l’explique Microsoft, il s’agit d’une attaque de vishing, une forme d’escroquerie où les escrocs utilisent des appels téléphoniques pour inciter les victimes à divulguer des informations personnelles. En l’occurrence, les pirates persuadent « l’utilisateur d’accorder l’accès à son appareil par le biais de l’assistance rapide ». En fait, la cible n’a qu’à « appuyer sur CTRL + Windows + Q et à entrer le code de sécurité » fourni par l’attaquant pour tomber dans le piège. Quand la session est lancée, l’attaquant va demander le contrôle de la machine à son interlocuteur.

Une fois que le pirate a obtenu l’accès au PC, il va exécuter un script malveillant qui télécharge des fichiers contenant des virus. Parmi les malwares déployés par les pirates, on trouve Qakbot ou Cobalt Strike, ainsi que des outils détournés à des fins frauduleuses comme ScreenConnect et NetSupport Manager. Grâce à cet arsenal de logiciels, les pirates vont pouvoir arriver à leurs fins. C’est par exemple Qakbot qui va permettre d’installer Black Basta sur le PC. Le ransomware va chiffrer les données et les cybercriminels vont pouvoir réclamer une rançon à leur cible.

Microsoft conseille de désactiver Quick Assist

Ce n’est pas la première fois que des cybercriminels détournent une fonctionnalité de Windows pour orchestrer leurs attaques. En mars dernier, Microsoft s’est rendu compte que les hackers russes de Forest Blizzard exploitaient les gestionnaires de protocole URI « search-ms: » et le protocole d’application « search: » dans le cadre d’attaques phishing. Quelques mois plus tôt, c’est le protocole « ms-appinstaller » qui était détourné par les criminels, obligeant Microsoft à désactiver celui-ci.

Pour se protéger des attaques reposant sur Quick Assist, Microsoft recommande de désactiver la fonctionnalité si celle-ci n’est pas utilisée. C’est la meilleure solution. Le géant américain rappelle aussi qu’il ne faut pas obéir à un interlocuteur qui vous contacte pour prendre le contrôle de votre appareil :

« N’autorisez un assistant à se connecter à votre appareil à l’aide de Quick Assist que si vous avez initié l’interaction en contactant directement l’assistance Microsoft ou votre personnel d’assistance informatique. Ne donnez pas accès à quiconque prétend avoir un besoin urgent d’accéder à votre appareil ».

Black Basta et Qakbot

Apparus en avril 2022, les pirates de Black Basta ont vite pris l’habitude de se servir de Qakbot pour faciliter leurs opérations. Comme l’explique Kaspersky dans un rapport partagé avec 01Net, le virus a fait son apparition en 2007 en tant que « cheval de Troie bancaire sophistiqué ». Avec le temps, il a évolué en « acquérant de nouvelles fonctionnalités telles que le vol de courriels, l’enregistrement de frappe et la capacité de se propager et d’installer des ransomwares ». Considéré comme « une menace persistante dans le paysage de la cybersécurité », il est connu « pour ses fréquentes mises à jour et améliorations ».

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Microsoft


Florian Bayard
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *