Trickbot

TrickBot est un cheval de Troie bancaire qui peut voler des données financières, des identifiants de compte et des informations personnelles identifiables (PII), ainsi que se propager au sein d'un réseau et diffuser des ransomwares, en particulier Ryuk.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Qu'est-ce que le logiciel malveillant TrickBot ?

TrickBot (ou "TrickLoader") est un cheval de Troie bancaire reconnu qui cible à la fois les entreprises et les consommateurs pour obtenir leurs données, telles que les informations bancaires, les identifiants de compte, les informations personnelles identifiables (PII) et même les bitcoins. En tant que logiciel malveillant très modulaire, il peut s'adapter à n'importe quel environnement ou réseau dans lequel il se trouve.

Les nombreux tours de passe-passe réalisés par ce cheval de Troie depuis sa découverte en 2016 sont attribués à la créativité et à l'agilité de ses développeurs. En plus de voler, TrickBot a été doté de capacités lui permettant de se déplacer latéralement et de prendre pied dans un réseau affecté à l'aide d'exploits, de propager des copies de lui-même via des partages Server Message Block (SMB), de déposer d'autres malwares comme le ransomware Ryuk, et de rechercher des documents et des fichiers multimédias sur les machines hôtes infectées.

Comment TrickBot se propage-t-il ?

Comme Emotet, TrickBot arrive sur les systèmes affectés sous la forme d'URL intégrés ou de pièces jointes infectées dans des campagnes de spam malveillant(malspam).

Une fois exécuté, TrickBot se propage latéralement au sein du réseau en exploitant la vulnérabilité SMB à l'aide de l'un des trois exploits NSA largement connus : EternalBlue, EternalRomance ou EternalChampion.

Emotet peut également déposer TrickBot dans le cadre d'une infection secondaire.

Quelle est l'histoire de TrickBot ?

TrickBot a commencé par voler des informations bancaires, mais rien n'est simple, même dès le début.

Lorsque les chercheurs de Malwarebytes ont découvert TrickBot en 2016, il possédait déjà des attributs que l'on ne retrouve généralement pas chez les voleurs d'informations d'identification "simples". Initialement, il ciblait les services financiers et les utilisateurs de données bancaires. Il laisse également tomber d'autres malwares.

TrickBot a la réputation d'être le successeur de Dyreza, un autre voleur d'informations d'identification qui est apparu pour la première fois dans la nature en 2014. TrickBot partage des similitudes avec Dyreza, comme certaines variables ayant des valeurs similaires et la façon dont les créateurs de TrickBot configurent les serveurs de commande et de contrôle (C&C) avec lesquels TrickBot communique. Cela a conduit de nombreux chercheurs à penser que la personne ou le groupe qui a créé Dyreza a également créé TrickBot.

En 2017, les développeurs ont inclus un module de ver dans TrickBot, qui, selon nous, a été inspiré par des campagnes de ransomware réussies avec des capacités de type ver, telles que WannaCry et EternalPetya. Les développeurs ont également ajouté un module permettant de récolter les identifiants Outlook. Pourquoi Outlook ? Des centaines d'organisations et des millions de particuliers dans le monde entier utilisent généralement ce service de messagerie web. L'éventail des données volées par TrickBot s'est également élargi : cookies, historique de navigation, URL visitées, Flash LSO (Local Shared Objects), et bien d'autres encore.

Bien que ces modules aient été nouveaux à l'époque, ils n'étaient pas bien codés.

En 2018, TrickBot a continué à exploiter la vulnérabilité SMB. Il était également équipé du module qui désactive la surveillance en temps réel de Windows Defender à l'aide d'une commande PowerShell. Bien qu'il ait également mis à jour son algorithme chiffrement , le reste de la fonction de son module est resté inchangé. Les développeurs de TrickBot ont également commencé à sécuriser leur code pour éviter qu'il ne soit démantelé par les chercheurs en sécurité en y incorporant des éléments d'obscurcissement.

À la fin de l'année, TrickBot a été classé comme la principale menace contre les entreprises, dépassant Emotet.

Les développeurs de TrickBot ont à nouveau apporté quelques modifications au cheval de Troie en 2019. Plus précisément, ils ont modifié la façon dont la fonction webinject fonctionne contre les opérateurs mobiles basés aux États-Unis, Sprint, Verizon Wireless et T-Mobile.

Récemment, les chercheurs ont constaté une amélioration de la méthode d'évasion de ce cheval de Troie. Mworm, le module responsable de la diffusion d'une copie de lui-même, a été remplacé par un nouveau module appelé Nworm. Ce nouveau module modifie le trafic HTTP de TrickBot, ce qui lui permet de s'exécuter à partir de la mémoire après avoir infecté un contrôleur de domaine. Ainsi, TrickBot ne laisse aucune trace d'infection sur les machines affectées.

Qui est visé par Trickbot ?

Au début, tout le monde semblait pouvoir être la cible de TrickBot. Mais ces dernières années, ses cibles semblent être devenues plus spécifiques, comme les utilisateurs d'Outlook ou de T-Mobile. Parfois, TrickBot se fait passer pour un spam sur le thème des impôts pendant la saison des impôts.

En 2019, des chercheurs de DeepInstinct ont découvert un dépôt d' adresses électroniques et/ou d'identifiants de messagerie récoltés auprès de millions d'utilisateurs. Ceux-ci appartiennent à des utilisateurs de Gmail, Hotmail, Yahoo, AOL et MSN.

Comment puis-je me protéger de TrickBot ?

Apprendre comment fonctionne TrickBot est la première étape pour savoir comment les organisations et les consommateurs peuvent s'en protéger. Voici d'autres éléments auxquels il faut prêter attention :

  1. Recherchez d'éventuels indicateurs de compromission (IOC) en exécutant des outils spécialement conçus à cet effet, tels que le Farbar Recovery Scan Tool (FRST). Cela permettra d'identifier les machines infectées au sein du réseau.
  2. Une fois les machines identifiées, il faut isoler les machines infectées du réseau.
  3. Télécharger et appliquer les correctifs qui corrigent les vulnérabilités exploitées par TrickBot.
  4. Désactiver les partages administratifs.
  5. Modifiez tous les mots de passe des administrateurs locaux et de domaine.
  6. Protégez-vous d'une infection par TrickBot à l'aide d'un programme de cybersécurité doté d'une protection multicouche. Les produitsprofessionnels et grand public de Malwarebytes détectent et bloquent TrickBot en temps réel.

Comment supprimer TrickBot ?

TrickBot n'est pas parfait et (comme nous l'avons vu) les développeurs peuvent parfois se montrer négligents. Il est important de savoir qu'il peut être supprimé. Les solutions professionnellesMalwarebytes peuvent faciliter la tâche en isolant les systèmes affectés, en les remédiant et en les protégeant contre de futures infections par TrickBot et d'autres souches de malwares.