Trickbot

TrickBot est un cheval de Troie bancaire qui peut voler des données financières, des identifiants de compte et des informations personnelles identifiables (PII), ainsi que se propager au sein d'un réseau et diffuser des ransomwares, en particulier Ryuk.

.st0{fill:#0D3ECC;} DOWNLOAD FREE ANTIVIRUS

Qu'est-ce que le malware TrickBot ?

TrickBot (ou « TrickLoader ») est un cheval de Troie bancaire reconnu qui cible les entreprises et les consommateurs pour s'emparer de leurs données, telles que les informations bancaires, les identifiants de compte, des informations personnellement identifiables (PII), et même des bitcoins. En tant que malware hautement modulaire, il peut s'adapter à n'importe quel environnement ou réseau.

Les nombreux tours de passe-passe réalisés par ce cheval de Troie depuis sa découverte en 2016 sont attribués à la créativité et à l'agilité de ses développeurs. En plus de voler, TrickBot a été doté de capacités lui permettant de se déplacer latéralement et de prendre pied dans un réseau affecté à l'aide d'exploits, de propager des copies de lui-même via des partages Server Message Block (SMB), de déposer d'autres logiciels malveillants comme le ransomware Ryuk, et de rechercher des documents et des fichiers multimédias sur les machines hôtes infectées.

Comment TrickBot se propage-t-il ?

Comme Emotet, TrickBot arrive sur les systèmes affectés sous la forme d'URL intégrés ou de pièces jointes infectées dans des campagnes de spam malveillant(malspam).

Une fois exécuté, TrickBot se propage latéralement au sein du réseau en exploitant la vulnérabilité SMB à l'aide de l'un des trois exploits NSA largement connus : EternalBlue, EternalRomance ou EternalChampion.

Emotet peut également déposer TrickBot dans le cadre d'une infection secondaire.

Quelle est l'histoire de TrickBot ?

TrickBot a commencé comme un voleur d'informations bancaires, mais rien n'est simple à son sujet, même dès le début.

Lorsque les chercheurs de Malwarebytes ont initialement découvert TrickBot en 2016, ce dernier affichait déjà des attributs que l'on ne voit normalement pas dans des voleurs de crédentiels « simples ». Il ciblait initialement les services financiers et les utilisateurs pour des données bancaires. Il dépose également d'autres malwares.

TrickBot a la réputation d'être le successeur de Dyreza, un autre voleur de crédentiels apparu pour la première fois dans la nature en 2014. TrickBot partageait des similitudes avec Dyreza, telles que certaines variables avec des valeurs similaires et la manière dont les créateurs de TrickBot ont configuré les serveurs de commande et de contrôle (C&C) avec lesquels TrickBot communique. Cela a amené de nombreux chercheurs à croire que la personne ou le groupe qui avait créé Dyreza avait également créé TrickBot.

En 2017, les développeurs ont inclus un module de ver dans TrickBot, qui, selon nous, a été inspiré par des campagnes de ransomware réussies avec des capacités de type ver, telles que WannaCry et EternalPetya. Les développeurs ont également ajouté un module permettant de récolter les identifiants Outlook. Pourquoi Outlook ? Des centaines d'organisations et des millions de particuliers dans le monde entier utilisent généralement ce service de messagerie web. L'éventail des données volées par TrickBot s'est également élargi : cookies, historique de navigation, URL visitées, Flash LSO (Local Shared Objects), et bien d'autres encore.

Bien que ces modules soient nouveaux à l'époque, ils n'étaient pas bien codés.

En 2018, TrickBot a continué d'exploiter la vulnérabilité SMB. Il était également équipé du module qui désactive la surveillance en temps réel de Windows Defender en utilisant une commande PowerShell. Bien qu'il ait également mis à jour son algorithme de chiffrement, le reste de sa fonction module est resté le même. Les développeurs de TrickBot ont également commencé à protéger leur code pour éviter qu'il ne soit démonté par les chercheurs en sécurité en incorporant des éléments d'obfuscation.

À la fin de l'année, TrickBot a été classé comme la principale menace pour les entreprises, surpassant Emotet.

Les développeurs de TrickBot ont apporté des modifications au Trojan en 2019 encore une fois. Ils ont notamment modifié la façon dont la fonctionnalité de webinject fonctionne contre les opérateurs mobiles américains, Sprint, Verizon Wireless, et T-Mobile.

Récemment, les chercheurs ont constaté une amélioration de la méthode d'évasion de ce cheval de Troie. Mworm, le module responsable de la diffusion d'une copie de lui-même, a été remplacé par un nouveau module appelé Nworm. Ce nouveau module modifie le trafic HTTP de TrickBot, ce qui lui permet de s'exécuter à partir de la mémoire après avoir infecté un contrôleur de domaine. Ainsi, TrickBot ne laisse aucune trace d'infection sur les machines affectées.

Qui TrickBot cible-t-il ?

Au début, n'importe qui semblait être une cible de TrickBot. Mais ces dernières années, ses cibles semblent devenir plus spécifiques, comme les utilisateurs d'Outlook ou de T-Mobile. Parfois, TrickBot se dissimule sous la forme d'un spam à thème fiscal pendant la saison des impôts.

En 2019, des chercheurs de DeepInstinct ont trouvé un répertoire d'adresses email et/ou des identifiants de messagerie récoltés auprès de millions d'utilisateurs. Ceux-ci appartiennent aux utilisateurs de Gmail, Hotmail, Yahoo, AOL, et MSN.

Comment puis-je me protéger contre TrickBot ?

Apprendre comment TrickBot fonctionne est la première étape pour savoir comment les organisations et les consommateurs peuvent s'en protéger. Voici d'autres choses auxquelles porter attention.

  1. Recherchez des Indicateurs de Compromis (IOC) possibles en utilisant des outils spécifiquement conçus pour cela, tels que le Farbar Recovery Scan Tool (FRST). Cela permettra d'identifier les machines infectées au sein du réseau.
  2. Une fois les machines identifiées, isolez les machines infectées du réseau.
  3. Téléchargez et appliquez des correctifs qui traitent des vulnérabilités exploitées par TrickBot.
  4. Désactivez les partages administratifs.
  5. Changez tous les mots de passe administrateur locaux et de domaine.
  6. Protégez-vous contre une infection TrickBot en utilisant un programme de cybersécurité qui offre une protection multi-couche. Les produits professionnels et premium de Malwarebytes détectent et bloquent TrickBot en temps réel.

Comment puis-je supprimer TrickBot ?

TrickBot n'est pas parfait, et (comme nous l'avons vu) les développeurs peuvent parfois être négligents. L'important, c'est qu'il peut être supprimé. Les solutions professionnelles de Malwarebytes peuvent faciliter une partie du travail en isolant les systèmes affectés, en les remédiant, et en les protégeant contre de futures infections de TrickBot et d'autres souches de malwares nocifs.