De temps en temps, une nouvelle variante de malware émerge pour rappeler que les enjeux de cybersécurité ne cessent de croître. Le cheval de Troie bancaire QakBot, également connu sous le nom de Pinkslipbot, en est un exemple frappant. Ce malware ne se limite plus à voler des identifiants bancaires : il peut persister et agir comme un serveur de commande et de contrôle (C2), même après la suppression initiale par un outil de sécurité.
Comment QakBot/Pinkslipbot maintient-il son activité ? Et comment l'éliminer complètement de votre système ?
Ce cheval de Troie bancaire porte deux noms : QakBot et Pinkslipbot. Apparu fin des années 2000, il reste une menace active plus d'une décennie plus tard. Sa dernière mise à jour lui permet de prolonger ses actions malveillantes, même si un antivirus neutralise sa charge initiale.
L'infection exploite le Universal Plug-and-Play (UPnP) pour ouvrir des ports et autoriser des connexions entrantes depuis Internet. Pinkslipbot vole ensuite des identifiants bancaires via des keyloggers, voleurs de mots de passe, attaques MITM sur navigateurs, certificats numériques, identifiants FTP/POP3, etc. Il contrôle un botnet de plus de 500 000 machines. (Qu'est-ce qu'un botnet ?)
Principalement ciblé sur le secteur bancaire américain, 89 % des infections touchent des environnements financiers, entreprises ou commerciaux.
Les experts de McAfee Labs ont identifié cette variante avancée de Pinkslipbot.
"L'UPnP considère les applications et appareils locaux comme fiables, sans protection intégrée, ce qui le rend vulnérable aux abus par toute machine infectée sur le réseau. Nous avons observé plusieurs proxys C2 Pinkslipbot sur des ordinateurs distincts d'un même réseau domestique, et même sur un point d'accès Wi-Fi public", explique Sanchit Karve, chercheur chez McAfee Anti-Malware. "À notre connaissance, Pinkslipbot est le premier malware à utiliser des machines infectées comme serveurs C2 basés sur HTTPS, et le deuxième à exploiter UPnP pour la redirection de ports après le ver Conficker en 2008."
Les chercheurs de McAfee étudient comment une machine devient un proxy. Trois facteurs clés :
Par exemple, le malware teste la bande passante en téléchargeant une image via le service Speed Test de Comcast.
Une fois une machine cible identifiée, Pinkslipbot envoie un paquet SSDP pour détecter les passerelles Internet (IGD), vérifie la connectivité et crée des règles de redirection de ports. L'attaquant déploie ensuite un binaire dédié à la communication proxy C2.
Même si votre antivirus a supprimé QakBot/Pinkslipbot, votre machine peut encore servir de proxy C2, la rendant vulnérable.
"Les règles UPnP créées par Pinkslipbot sont trop génériques pour une suppression automatique sans risquer des erreurs réseau. La plupart des outils anti-malware n'annulent pas ces changements", note Karve. "Votre PC reste exposé aux attaques externes malgré la suppression des binaires."
Doté de capacités de ver, il se propage via réseaux partagés et supports amovibles. Selon IBM X-Force, cela a causé des verrouillages Active Directory dans des banques, bloquant les accès pendant des heures.
McAfee propose l'Outil de détection de proxy et de transfert de port du serveur de contrôle Pinkslipbot (PCSPDPFRT). Téléchargez-le ici. Un manuel d'utilisation est disponible ici [PDF].
Cliquez droit sur l'outil et Exécuter en tant qu'administrateur.
En mode détection, il scanne votre système. Sans menace, il se ferme sans modifications.
Si une menace est détectée, utilisez la commande /del pour supprimer les règles de ports.
La sophistication de ce cheval de Troie bancaire est surprenante.
Mis à part Conficker, l'exploitation malveillante d'UPnP est rare. Cela souligne les risques des appareils IoT sur UPnP. Avec leur prolifération, les cybercriminels ont une cible idéale.
Pinkslipbot se classe 10e des malwares financiers les plus répandus, derrière Client Maximus.
La prévention reste clé : formation anti-phishing, vigilance accrue pour entreprises et particuliers.
Victime de Pinkslipbot à la maison ou au travail ? Partagez votre expérience en commentaires !
Crédit image : akocharm via Shutterstock
[]