Trickbot Malware a de nouveaux trucs dans sa manche: les échantillons sur le thème du coronavirus trompent les produits de sécurité et les entreprises de télécommunications cibles

Trickbot Coronavirus-Themed Samples

En 2016, Trickbot a commencé sa vie comme un humble cheval de Troie bancaire, mais il est rapidement devenu évident que c'était beaucoup plus que cela. À l'heure actuelle, près de quatre ans plus tard, il est probablement sûr de dire qu'il s'agit de la famille de logiciels malveillants la plus utilisée au monde, et rien ne suggère que les cybercriminels s'en détourneront de sitôt.

Son principal attrait réside dans sa polyvalence, qui vient de sa conception modulaire. Les créateurs de logiciels malveillants peuvent développer et ajouter des plugins et faire facilement effectuer par le cheval de Troie un large éventail de tâches. Pendant ce temps, avec quelques ajustements, Trickbot peut devenir plus furtif et extrêmement difficile à supprimer. Des échantillons récents découverts par des chercheurs en sécurité montrent pourquoi les cybercriminels l'adorent tant.

Les échantillons Trickbot utilisent la panique entourant l'épidémie de coronavirus pour échapper aux solutions de sécurité

Trickbot, comme de nombreuses autres familles de malwares, utilise la pandémie actuelle de coronavirus dans ses campagnes. Contrairement à d'autres gangs, cependant, les opérateurs de Trickbot n'utilisent pas l'épidémie pour tromper les victimes en ouvrant un fichier ou en cliquant sur un lien. Cette fois, le coronavirus joue un rôle en trompant l'ordinateur.

Selon le site d'informations sur la sécurité Bleeping Computer, des criminels ont récemment apporté des modifications au crypteur du logiciel malveillant - un programme conçu pour crypter le code de l'exécutable et le faire paraître légitime. Les chercheurs ont examiné les propriétés des nouveaux fichiers et ont découvert que les chaînes des rapports de nouvelles sur le coronavirus étaient placées dans des champs tels que «Description du fichier», «Nom du produit» et «Copyright».

Cela ressemble à un mouvement étrange. Après tout, la triste vérité est qu'il est peu probable que les utilisateurs réguliers recherchent un fichier inconnu dans autant de détails avant de le lancer, et même s'ils l'ont fait, il y a de fortes chances qu'ils soient confus par une page Propriétés qui ressemble à ceci. Il y a cependant une méthode derrière tout cela.

Vitali Kremez de SentinelLabs a déclaré à Bleeping Computer qu'il s'agit très probablement d'une technique d'évasion de détection. Apparemment, les opérateurs Trickbot l'ont utilisé dans le passé, et il semble être particulièrement efficace contre les solutions de sécurité qui reposent sur l'intelligence artificielle et l'apprentissage automatique.

Ces nouveaux ajouts suggèrent que les opérateurs de Trickbot sont déterminés à réussir à compromettre leurs cibles. Soit dit en passant, cela est également soutenu par des recherches indépendantes menées par Bitdefender au début du mois.

Trickbot attaque des cibles via RDP

Les chercheurs de Bitdefender surveillaient le comportement de Trickbot lorsqu'à la fin de janvier, ils ont remarqué que les escrocs poussaient une mise à jour. Il y avait un nouveau modèle que les experts n'avaient jamais vu auparavant. Certaines fonctionnalités ne fonctionnaient pas correctement, ce qui montrait que la mise à jour était toujours en cours, mais malgré cela, elle a réussi à donner aux experts une idée de ce que pourraient être les plans futurs des escrocs.

Le nouveau module, ainsi qu'un fichier de configuration, sont téléchargés à partir de l'un des nombreux serveurs Command & Control (C&C) disponibles après une infection réussie. Trickbot reçoit une liste de cibles, et sa première tâche est de voir si leurs services RDP (Remote Desktop Protocol) sont activés. Si une cible a un RDP ouvert, son nom est renvoyé au C&C via une requête POST. Le serveur répond avec une collection de noms d'utilisateur et de mots de passe que Trickbot utilise pour essayer de forcer son chemin et compromettre l'organisation ciblée.

Il est difficile de dire si le nouveau module a déjà été utilisé à l'état sauvage. Sur la base de la liste des cibles que le chercheur de Bitdefender a vu, cependant, il pourrait bientôt être déchaîné contre les entreprises de télécommunications aux États-Unis et à Hong Kong. Les escrocs pourraient également viser les entreprises du secteur financier ainsi que les organisations qui s'occupent d'éducation et de recherche scientifique.

Les deux nouveaux ajouts représentent la dernière d'une longue série de mises à jour que les opérateurs de Trickbot ont ajoutées à leur logiciel malveillant. Nous ne pouvons que deviner dans quelle direction le cheval de Troie va prendre ensuite, mais nous pouvons être sûrs qu'il restera un favori des cybercriminels.

March 19, 2020

Laisser une Réponse