Le fameux cheval de Troie Trickbot est maintenant capable de voler des informations d'identification à partir de navigateurs Web

Trickbot Streals Passwords From Browsers

En un peu plus de deux ans, Trickbot est passé d'un nouveau venu à un nom établi dans le paysage des menaces en ligne. Pour une raison quelconque, beaucoup de gens continuent de le classer comme un cheval de Troie bancaire, mais ceux qui l'ont effectivement analysé en détail savent que c'est un peu plus que cela.

Trickbot est une famille de logiciels malveillants modulaire et hautement personnalisable

Analysé pour la première fois en octobre 2016, Trickbot serait l'œuvre des mêmes cybercriminels qui ont créé Cutwail, Vawtrak et Pushdo. Quand il est apparu sur la scène, il s'agissait d'une menace assez simple avec un nombre limité d'institutions financières ciblées. Une mise à jour est arrivée environ un mois plus tard, cependant, et les experts ont rapidement réalisé qu'ils avaient un sérieux logiciel malveillant sur les mains. Quelques semaines seulement après la sortie de la première version, les auteurs de Trickbot avaient déjà réussi à inclure à la fois des mécanismes de redirection et d'injection Web côté serveur dans leur cheval de Troie. Trickbot n'a peut-être pas été le premier malware bancaire à utiliser les deux techniques, mais il a été le premier à le faire peu de temps après ses débuts. Le gang avait plus que quelques autres tours dans ses manches.

Même dans la première version, les chercheurs en sécurité ont vu que la conception de Trickbot permet l'ajout facile de modules qui pourraient diversifier ses activités criminelles. À l'été 2017, les escrocs ont mis en œuvre un composant qui a volé les informations d'identification non seulement pour les comptes bancaires, mais également pour les systèmes de gestion de la relation client, et peu de temps après, ils ont ajouté de nombreuses nouvelles entrées à la liste des institutions financières ciblées. Le gang Trickbot harcelait désormais les utilisateurs dans près de vingt pays.

En juillet 2017, ils ont ajouté un module de ver qui a profité du désormais infâme protocole SMB pour se répandre sur le réseau, et au cours des prochains mois, ils ont expérimenté quelques composants différents comme, par exemple, un module de verrouillage d'écran qui a heureusement resté handicapé. Maintenant, nous avons une nouvelle version avec encore plus de fonctionnalités.

Trickbot gratte les données des navigateurs et autres applications

Le mois dernier, des chercheurs de Trend Micro et de Fortinet ont remarqué quelques échantillons de Trickbot volant autour.

Comme c'est souvent le cas, ils ont été diffusés à l'aide de spams. Pour inciter les victimes à ouvrir la pièce jointe, les escrocs ont nommé le fichier "Sep_report.xls" et ce qui a suivi était le scénario typique "activer les macros pour afficher le contenu".

Après la distribution, le code a ensuite téléchargé et exécuté le cheval de Troie Trickbot, mais lorsqu'ils ont regardé de plus près, les experts ont vu un module qu'ils n'avaient jamais vu auparavant. Il est venu sous la forme d'un fichier de 1 Mo appelé "pwgrab32". Son nom donne une partie de ses fonctionnalités - voler des mots de passe.

Lorsqu'ils ont examiné de plus près le nouveau module, les experts ont constaté qu'il pouvait attaquer la plupart des principaux navigateurs. Il vole non seulement les informations d'identification de connexion, mais également les données de saisie automatique (qui, dans les navigateurs modernes, peuvent inclure des détails de carte de crédit et d'autres informations sensibles) de Google Chrome, Mozilla Firefox et Internet Explorer. Il y avait également un mécanisme pour exfiltrer les données de Microsoft Edge, mais il a été désactivé lorsque Fortinet et Trend Micro l'ont examiné. À sa place, les auteurs de Trickbot avaient placé un composant grattant les informations d'identification de connexion du client de messagerie de Microsoft, Outlook, ainsi que de quelques clients FTP - FileZilla et WinSCP.

Nous avons expliqué pourquoi l'enregistrement des informations de connexion et d'autres données dans le navigateur n'est pas une si bonne idée, et la nouvelle fonctionnalité de Trickbot illustre assez bien le point. Pendant des années, les experts ont préconisé l'utilisation d'outils de gestion de mots de passe autonomes comme Cyclonis Password Manager , et vous voudrez peut-être commencer à réfléchir à leurs conseils.

Même avec un gestionnaire de mots de passe, cependant, Trickbot est toujours une menace avec laquelle il faut compter, et la nouvelle mise à jour montre que les escrocs n'ont pas l'intention de le retirer de si tôt.

Par Duran
October 9, 2019
Trojan
Français
October 9, 2019
Trojan

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.