Trickbot Malware a de nouveaux trucs dans sa manche: les échantillons sur le thème du coronavirus trompent les produits de sécurité et les entreprises de télécommunications cibles

Trickbot Coronavirus-Themed Samples

En 2016, Trickbot a commencé sa vie comme un humble cheval de Troie bancaire, mais il est rapidement devenu évident que c'était beaucoup plus que cela. À l'heure actuelle, près de quatre ans plus tard, il est probablement sûr de dire qu'il s'agit de la famille de logiciels malveillants la plus utilisée au monde, et rien ne suggère que les cybercriminels s'en détourneront de sitôt.

Son principal attrait réside dans sa polyvalence, qui vient de sa conception modulaire. Les créateurs de logiciels malveillants peuvent développer et ajouter des plugins et faire facilement effectuer par le cheval de Troie un large éventail de tâches. Pendant ce temps, avec quelques ajustements, Trickbot peut devenir plus furtif et extrêmement difficile à supprimer. Des échantillons récents découverts par des chercheurs en sécurité montrent pourquoi les cybercriminels l'adorent tant.

Les échantillons Trickbot utilisent la panique entourant l'épidémie de coronavirus pour échapper aux solutions de sécurité

Trickbot, comme de nombreuses autres familles de malwares, utilise la pandémie actuelle de coronavirus dans ses campagnes. Contrairement à d'autres gangs, cependant, les opérateurs de Trickbot n'utilisent pas l'épidémie pour tromper les victimes en ouvrant un fichier ou en cliquant sur un lien. Cette fois, le coronavirus joue un rôle en trompant l'ordinateur.

Selon le site d'informations sur la sécurité Bleeping Computer, des criminels ont récemment apporté des modifications au crypteur du logiciel malveillant - un programme conçu pour crypter le code de l'exécutable et le faire paraître légitime. Les chercheurs ont examiné les propriétés des nouveaux fichiers et ont découvert que les chaînes des rapports de nouvelles sur le coronavirus étaient placées dans des champs tels que «Description du fichier», «Nom du produit» et «Copyright».

Cela ressemble à un mouvement étrange. Après tout, la triste vérité est qu'il est peu probable que les utilisateurs réguliers recherchent un fichier inconnu dans autant de détails avant de le lancer, et même s'ils l'ont fait, il y a de fortes chances qu'ils soient confus par une page Propriétés qui ressemble à ceci. Il y a cependant une méthode derrière tout cela.

Vitali Kremez de SentinelLabs a déclaré à Bleeping Computer qu'il s'agit très probablement d'une technique d'évasion de détection. Apparemment, les opérateurs Trickbot l'ont utilisé dans le passé, et il semble être particulièrement efficace contre les solutions de sécurité qui reposent sur l'intelligence artificielle et l'apprentissage automatique.

Ces nouveaux ajouts suggèrent que les opérateurs de Trickbot sont déterminés à réussir à compromettre leurs cibles. Soit dit en passant, cela est également soutenu par des recherches indépendantes menées par Bitdefender au début du mois.

Trickbot attaque des cibles via RDP

Les chercheurs de Bitdefender surveillaient le comportement de Trickbot lorsqu'à la fin de janvier, ils ont remarqué que les escrocs poussaient une mise à jour. Il y avait un nouveau modèle que les experts n'avaient jamais vu auparavant. Certaines fonctionnalités ne fonctionnaient pas correctement, ce qui montrait que la mise à jour était toujours en cours, mais malgré cela, elle a réussi à donner aux experts une idée de ce que pourraient être les plans futurs des escrocs.

Le nouveau module, ainsi qu'un fichier de configuration, sont téléchargés à partir de l'un des nombreux serveurs Command & Control (C&C) disponibles après une infection réussie. Trickbot reçoit une liste de cibles, et sa première tâche est de voir si leurs services RDP (Remote Desktop Protocol) sont activés. Si une cible a un RDP ouvert, son nom est renvoyé au C&C via une requête POST. Le serveur répond avec une collection de noms d'utilisateur et de mots de passe que Trickbot utilise pour essayer de forcer son chemin et compromettre l'organisation ciblée.

Il est difficile de dire si le nouveau module a déjà été utilisé à l'état sauvage. Sur la base de la liste des cibles que le chercheur de Bitdefender a vu, cependant, il pourrait bientôt être déchaîné contre les entreprises de télécommunications aux États-Unis et à Hong Kong. Les escrocs pourraient également viser les entreprises du secteur financier ainsi que les organisations qui s'occupent d'éducation et de recherche scientifique.

Les deux nouveaux ajouts représentent la dernière d'une longue série de mises à jour que les opérateurs de Trickbot ont ajoutées à leur logiciel malveillant. Nous ne pouvons que deviner dans quelle direction le cheval de Troie va prendre ensuite, mais nous pouvons être sûrs qu'il restera un favori des cybercriminels.

Par Duran
March 19, 2020
Trojan
Français
March 19, 2020
Trojan

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.