Trickbot

TrickBot est un cheval de Troie bancaire qui peut voler des données financières, des identifiants de compte et des informations personnelles identifiables (PII), ainsi que se propager au sein d'un réseau et diffuser des ransomwares, en particulier Ryuk.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Qu'est-ce que le malware TrickBot ?

TrickBot (ou « TrickLoader ») est un cheval de Troie bancaire reconnu qui cible les entreprises et les consommateurs pour s'emparer de leurs données, telles que les informations bancaires, les identifiants de compte, des informations personnellement identifiables (PII), et même des bitcoins. En tant que malware hautement modulaire, il peut s'adapter à n'importe quel environnement ou réseau.

Les nombreux tours que ce Trojan a réalisés depuis sa découverte en 2016 sont attribués à la créativité et l'agilité de ses développeurs. En plus du vol, TrickBot a été doté de capacités pour se déplacer latéralement et s'implanter dans un réseau affecté en utilisant des exploits, propager ses copies via les partages SMB, déposer d'autres malwares comme le Ryuk ransomware, et rechercher des documents et fichiers multimédias sur les machines infectées.

Comment TrickBot se propage-t-il ?

Tout comme Emotet, TrickBot arrive sur les systèmes affectés sous la forme d'URL intégrées ou de pièces jointes infectées dans des campagnes de spam malveillant (malspam).

Une fois exécuté, TrickBot se propage latéralement dans le réseau en exploitant la vulnérabilité SMB en utilisant l'un des trois exploits de la NSA les plus connus : EternalBlue, EternalRomance ou EternalChampion.

Emotet peut également déposer TrickBot dans le cadre d'une infection secondaire.

Quelle est l'histoire de TrickBot ?

TrickBot a commencé comme un voleur d'informations bancaires, mais rien n'est simple à son sujet, même dès le début.

Lorsque les chercheurs de Malwarebytes ont initialement découvert TrickBot en 2016, ce dernier affichait déjà des attributs que l'on ne voit normalement pas dans des voleurs de crédentiels « simples ». Il ciblait initialement les services financiers et les utilisateurs pour des données bancaires. Il dépose également d'autres malwares.

TrickBot a la réputation d'être le successeur de Dyreza, un autre voleur de crédentiels apparu pour la première fois dans la nature en 2014. TrickBot partageait des similitudes avec Dyreza, telles que certaines variables avec des valeurs similaires et la manière dont les créateurs de TrickBot ont configuré les serveurs de commande et de contrôle (C&C) avec lesquels TrickBot communique. Cela a amené de nombreux chercheurs à croire que la personne ou le groupe qui avait créé Dyreza avait également créé TrickBot.

En 2017, les développeurs ont inclus un module ver dans TrickBot, que nous pensons inspiré par des campagnes de ransomware réussies avec des capacités de type ver, comme WannaCry et EternalPetya. Les développeurs ont également ajouté un module pour récolter les identifiants Outlook. Pourquoi Outlook ? Eh bien, des centaines d'organisations et des millions de personnes à travers le monde utilisent généralement ce service de webmail. La gamme de données volées par TrickBot s'est également élargie : cookies, historique de navigation, URLs visitées, objets locaux Flash (LSO), et bien plus encore.

Bien que ces modules soient nouveaux à l'époque, ils n'étaient pas bien codés.

En 2018, TrickBot a continué d'exploiter la vulnérabilité SMB. Il était également équipé du module qui désactive la surveillance en temps réel de Windows Defender en utilisant une commande PowerShell. Bien qu'il ait également mis à jour son algorithme de chiffrement, le reste de sa fonction module est resté le même. Les développeurs de TrickBot ont également commencé à protéger leur code pour éviter qu'il ne soit démonté par les chercheurs en sécurité en incorporant des éléments d'obfuscation.

À la fin de l'année, TrickBot a été classé comme la principale menace pour les entreprises, surpassant Emotet.

Les développeurs de TrickBot ont apporté des modifications au Trojan en 2019 encore une fois. Ils ont notamment modifié la façon dont la fonctionnalité de webinject fonctionne contre les opérateurs mobiles américains, Sprint, Verizon Wireless, et T-Mobile.

Récemment, les chercheurs ont noté une amélioration dans la méthode d'évasion de ce Trojan. Le module Mworm, responsable de la propagation d'une copie de lui-même, a été remplacé par un nouveau module appelé Nworm. Ce nouveau module altère le trafic HTTP de TrickBot, lui permettant de s'exécuter depuis la mémoire après avoir infecté un contrôleur de domaine. Ce qui assure que TrickBot ne laisse aucune trace d'infection sur les machines touchées.

Qui TrickBot cible-t-il ?

Au début, n'importe qui semblait être une cible de TrickBot. Mais ces dernières années, ses cibles semblent devenir plus spécifiques, comme les utilisateurs d'Outlook ou de T-Mobile. Parfois, TrickBot se dissimule sous la forme d'un spam à thème fiscal pendant la saison des impôts.

En 2019, des chercheurs de DeepInstinct ont trouvé un répertoire d'adresses email et/ou des identifiants de messagerie récoltés auprès de millions d'utilisateurs. Ceux-ci appartiennent aux utilisateurs de Gmail, Hotmail, Yahoo, AOL, et MSN.

Comment puis-je me protéger contre TrickBot ?

Apprendre comment TrickBot fonctionne est la première étape pour savoir comment les organisations et les consommateurs peuvent s'en protéger. Voici d'autres choses auxquelles porter attention.

  1. Recherchez des Indicateurs de Compromis (IOC) possibles en utilisant des outils spécifiquement conçus pour cela, tels que le Farbar Recovery Scan Tool (FRST). Cela permettra d'identifier les machines infectées au sein du réseau.
  2. Une fois les machines identifiées, isolez les machines infectées du réseau.
  3. Téléchargez et appliquez des correctifs qui traitent des vulnérabilités exploitées par TrickBot.
  4. Désactivez les partages administratifs.
  5. Changez tous les mots de passe administrateur locaux et de domaine.
  6. Protégez-vous contre une infection TrickBot en utilisant un programme de cybersécurité qui offre une protection multi-couche. Les produits professionnels et premium de Malwarebytes détectent et bloquent TrickBot en temps réel.

Comment puis-je supprimer TrickBot ?

TrickBot n'est pas parfait, et (comme nous l'avons vu) les développeurs peuvent parfois être négligents. L'important, c'est qu'il peut être supprimé. Les solutions professionnelles de Malwarebytes peuvent faciliter une partie du travail en isolant les systèmes affectés, en les remédiant, et en les protégeant contre de futures infections de TrickBot et d'autres souches de malwares nocifs.