Les hackers de Black Basta ont-ils trouvé comment pirater Windows pour propager des malwares ?

Découvrez dans cet article comment les hackers de Black Basta pourraient avoir découvert une nouvelle méthode de piratage de Windows pour propager des malwares.

Les hackers de Black Basta exploitent la fonctionnalité Quick Assist de Windows

Microsoft a récemment mis en garde contre le gang de pirates informatiques connu sous le nom de Black Basta. Ces cybercriminels utilisent une technique sophistiquée pour propager des malwares à l’aide du ransomware Qakbot. Plus précisément, ils exploitent une fonctionnalité intégrée à Windows 10 et Windows 11 appelée Quick Assist.
Quick Assist est une fonctionnalité qui permet à une personne d’aider un utilisateur à distance en prenant le contrôle de son ordinateur de manière sécurisée. Malheureusement, les pirates de Black Basta ont détourné cette fonctionnalité pour installer des logiciels malveillants, ce qui conduit finalement à l’arrivée du ransomware Black Basta sur l’ordinateur de la victime.

Une escroquerie qui démarre au téléphone

Les hackers de Black Basta commencent leur attaque en inondant la boîte mail de leur cible avec des courriels. Ils entrent ensuite en contact avec leur victime en se faisant passer pour l’assistance technique de Microsoft. Les pirates passent même un appel téléphonique à la cible, prétendant offrir de l’aide pour remédier au problème de spam. Cette combinaison d’événements a pour effet d’endormir la méfiance des utilisateurs.
Il s’agit en réalité d’une attaque de vishing, une forme d’escroquerie où les escrocs utilisent des appels téléphoniques pour inciter les victimes à divulguer des informations personnelles. Dans ce cas précis, les pirates persuadent l’utilisateur d’accorder l’accès à son appareil en utilisant l’assistance rapide de Quick Assist. La victime n’a qu’à appuyer sur les touches CTRL + Windows + Q et entrer le code de sécurité fourni par l’attaquant pour tomber dans le piège. Une fois la session lancée, l’attaquant demande le contrôle de la machine à son interlocuteur.

De la propagation des malwares à l’installation du ransomware Black Basta

Une fois que le pirate a obtenu l’accès au PC, il exécute un script malveillant qui télécharge des fichiers contenant des virus. Parmi ces malwares, on retrouve Qakbot ou Cobalt Strike, ainsi que des outils détournés à des fins frauduleuses tels que ScreenConnect et NetSupport Manager. Grâce à cet arsenal de logiciels, les pirates sont en mesure de parvenir à leurs fins. Par exemple, Qakbot permet d’installer le ransomware Black Basta sur le PC de la victime. Ce ransomware chiffre les données et les cybercriminels peuvent ensuite demander une rançon à la cible.

Les recommandations de Microsoft pour se protéger

Ce n’est malheureusement pas la première fois que des cybercriminels détournent des fonctionnalités de Windows pour mener leurs attaques. Face à cette situation, Microsoft recommande de désactiver la fonctionnalité Quick Assist si elle n’est pas utilisée. Il est important de ne pas autoriser un assistant à se connecter à votre appareil via Quick Assist, à moins d’avoir initié l’interaction en contactant directement l’assistance Microsoft ou le personnel d’assistance informatique. Microsoft rappelle qu’il ne faut pas donner accès à quiconque prétendant avoir un besoin urgent d’accéder à votre appareil.

Black Basta et Qakbot

Apparus en avril 2022, les hackers de Black Basta ont rapidement adopté Qakbot pour faciliter leurs opérations. Selon Kaspersky, ce virus, apparu en 2007 en tant que cheval de Troie bancaire sophistiqué, a évolué au fil du temps en acquérant de nouvelles fonctionnalités telles que le vol de courriels, l’enregistrement des frappes clavier et la capacité de se propager et d’installer des ransomwares. Qakbot est considéré comme une menace persistante dans le paysage de la cybersécurité en raison de ses fréquentes mises à jour et améliorations.

Les hackers de Black Basta ont trouvé comment exploiter la fonctionnalité Quick Assist de Windows pour propager des malwares, en utilisant le ransomware Qakbot comme principal outil. Il est essentiel de rester vigilant et de suivre les recommandations de Microsoft pour se protéger contre de telles attaques. La désactivation de Quick Assist lorsque cette fonctionnalité n’est pas nécessaire est une précaution à prendre afin de garantir la sécurité de votre appareil.

Source: www.01net.com