Le fameux cheval de Troie Trickbot est maintenant capable de voler des informations d'identification à partir de navigateurs Web
En un peu plus de deux ans, Trickbot est passé d'un nouveau venu à un nom établi dans le paysage des menaces en ligne. Pour une raison quelconque, beaucoup de gens continuent de le classer comme un cheval de Troie bancaire, mais ceux qui l'ont effectivement analysé en détail savent que c'est un peu plus que cela.
Trickbot est une famille de logiciels malveillants modulaire et hautement personnalisable
Analysé pour la première fois en octobre 2016, Trickbot serait l'œuvre des mêmes cybercriminels qui ont créé Cutwail, Vawtrak et Pushdo. Quand il est apparu sur la scène, il s'agissait d'une menace assez simple avec un nombre limité d'institutions financières ciblées. Une mise à jour est arrivée environ un mois plus tard, cependant, et les experts ont rapidement réalisé qu'ils avaient un sérieux logiciel malveillant sur les mains. Quelques semaines seulement après la sortie de la première version, les auteurs de Trickbot avaient déjà réussi à inclure à la fois des mécanismes de redirection et d'injection Web côté serveur dans leur cheval de Troie. Trickbot n'a peut-être pas été le premier malware bancaire à utiliser les deux techniques, mais il a été le premier à le faire peu de temps après ses débuts. Le gang avait plus que quelques autres tours dans ses manches.
Même dans la première version, les chercheurs en sécurité ont vu que la conception de Trickbot permet l'ajout facile de modules qui pourraient diversifier ses activités criminelles. À l'été 2017, les escrocs ont mis en œuvre un composant qui a volé les informations d'identification non seulement pour les comptes bancaires, mais également pour les systèmes de gestion de la relation client, et peu de temps après, ils ont ajouté de nombreuses nouvelles entrées à la liste des institutions financières ciblées. Le gang Trickbot harcelait désormais les utilisateurs dans près de vingt pays.
En juillet 2017, ils ont ajouté un module de ver qui a profité du désormais infâme protocole SMB pour se répandre sur le réseau, et au cours des prochains mois, ils ont expérimenté quelques composants différents comme, par exemple, un module de verrouillage d'écran qui a heureusement resté handicapé. Maintenant, nous avons une nouvelle version avec encore plus de fonctionnalités.
Trickbot gratte les données des navigateurs et autres applications
Le mois dernier, des chercheurs de Trend Micro et de Fortinet ont remarqué quelques échantillons de Trickbot volant autour.
Comme c'est souvent le cas, ils ont été diffusés à l'aide de spams. Pour inciter les victimes à ouvrir la pièce jointe, les escrocs ont nommé le fichier "Sep_report.xls" et ce qui a suivi était le scénario typique "activer les macros pour afficher le contenu".
Après la distribution, le code a ensuite téléchargé et exécuté le cheval de Troie Trickbot, mais lorsqu'ils ont regardé de plus près, les experts ont vu un module qu'ils n'avaient jamais vu auparavant. Il est venu sous la forme d'un fichier de 1 Mo appelé "pwgrab32". Son nom donne une partie de ses fonctionnalités - voler des mots de passe.
Lorsqu'ils ont examiné de plus près le nouveau module, les experts ont constaté qu'il pouvait attaquer la plupart des principaux navigateurs. Il vole non seulement les informations d'identification de connexion, mais également les données de saisie automatique (qui, dans les navigateurs modernes, peuvent inclure des détails de carte de crédit et d'autres informations sensibles) de Google Chrome, Mozilla Firefox et Internet Explorer. Il y avait également un mécanisme pour exfiltrer les données de Microsoft Edge, mais il a été désactivé lorsque Fortinet et Trend Micro l'ont examiné. À sa place, les auteurs de Trickbot avaient placé un composant grattant les informations d'identification de connexion du client de messagerie de Microsoft, Outlook, ainsi que de quelques clients FTP - FileZilla et WinSCP.
Nous avons expliqué pourquoi l'enregistrement des informations de connexion et d'autres données dans le navigateur n'est pas une si bonne idée, et la nouvelle fonctionnalité de Trickbot illustre assez bien le point. Pendant des années, les experts ont préconisé l'utilisation d'outils de gestion de mots de passe autonomes comme Cyclonis Password Manager , et vous voudrez peut-être commencer à réfléchir à leurs conseils.
Même avec un gestionnaire de mots de passe, cependant, Trickbot est toujours une menace avec laquelle il faut compter, et la nouvelle mise à jour montre que les escrocs n'ont pas l'intention de le retirer de si tôt.