La mise à jour de TrickBot indique un recentrage sur la fraude bancaire

TrickBot est un nom que toute personne qui lit des informations sur les logiciels malveillants et la sécurité doit avoir rencontré à un moment donné. Ce qui a commencé comme le cheval de Troie bancaire TrickBot en 2016 et était principalement utilisé pour voler des informations bancaires et de carte aux victimes, a lentement évolué pour devenir une boîte à outils modulaire polyvalente contre les logiciels malveillants.

Même si au cours des deux dernières années, TrickBot a été principalement utilisé comme véhicule pour fournir des ransomwares, y compris les tristement célèbres familles Ryuk et Conti, sa dernière mise à jour indique que les mauvais acteurs derrière le malware cherchent à affiner à nouveau ses capacités de fraude bancaire et de vol, avec un possible recentrage sur le vol d'informations d'identification.

Les chercheurs en sécurité travaillant avec Kryptos Logic Threat Intelligence se sont penchés sur les dernières versions de TrickBot et leurs conclusions sont intrigantes. TrickBot ajoute des mécanismes de vol d'informations d'identification qui ressemblent à ceux trouvés dans le cheval de Troie bancaire Zeus, avec la capacité du malware d'exécuter des attaques de type man-in-the-browser. Ceci est réalisé à l'aide d'injections Web.

Lorsqu'une victime infectée par la dernière version de TrickBot tente d'ouvrir un site Web bancaire légitime, le module d'injection Web du logiciel malveillant entre en jeu. L'injection peut être à la fois statique ou dynamique, la version statique acheminant l'utilisateur vers un site Web de hacker-contrôleur qui imite le service bancaire légitime. Une fois que l'utilisateur a saisi ses informations d'identification sur la fausse page, il est facile d'imaginer ce qui se passe ensuite.

L'injection dynamique est plus sophistiquée et implique la transmission de la réponse du serveur aux serveurs de commande et de contrôle de TrickBot, où la source de la page est modifiée dynamiquement. La page contenant des logiciels malveillants est ensuite renvoyée au navigateur de l'utilisateur, agissant comme si elle avait été chargée à partir du site bancaire légitime.

La similitude avec Zeus vient de la mise à jour du module d'injection Web, qui contient désormais ce que les chercheurs appellent les paramètres de configuration d'injection "de style Zeus". Cela donne à TrickBot un autre moyen de modifier dynamiquement les pages servies au navigateur de la victime.

La raison pour laquelle les pirates copient encore des morceaux de Zeus, même si le code source du cheval de Troie Zeus est divulgué depuis une décennie maintenant, c'est qu'il a longtemps été le summum des chevaux de Troie bancaires et que certaines de ces techniques, lorsqu'elles sont modifiées pour répondre aux besoins des logiciels malveillants actuels, toujours tirer leur poids.

En résumé, les chercheurs ont souligné que la nouvelle fonctionnalité peut indiquer que l'acteur de la menace derrière TrickBot cherche peut-être à étendre sa plate-forme de service de logiciels malveillants et permet aux titulaires de licence et aux nouveaux pirates en herbe qui utilisent TrickBot d'écrire leurs propres configurations et modules d'injection Web.

Par Zaib
July 5, 2021
Computer Security
Français
July 5, 2021
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 11 days

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 18 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.