Ancre
Les acteurs des menaces à motivation financière continuent d'expérimenter de nouvelles familles de malwares qui finissent souvent par être utilisées en combinaison avec des chevaux de Troie bien connus tels que TrickBot. Le cheval de Troie bancaire TrickBot est perçu comme l'une des cybermenaces les plus actives de 2019, et il a été utilisé récemment dans des attaques contre des appareils de point de vente appartenant à divers fournisseurs du monde entier. Ce qui ressort de cette récente campagne, c'est qu'elle impliquait l'utilisation d'une famille de logiciels malveillants qui n'a pas été vue auparavant - la menace fonctionne comme un cheval de Troie de porte dérobée et s'appuie sur le protocole DNS pour communiquer avec son serveur de commande et de contrôle. La menace a reçu le nom d'Anchor, et une inspection plus approfondie de son code source a révélé qu'il avait été utilisé dans d'autres attaques survenues au cours des 12 derniers mois.
La porte dérobée d'ancrage s'appuie sur le protocole DNS pour recevoir les commandes
La porte dérobée Anchor n'est certainement pas spéciale en termes de fonctionnalités qu'elle prend en charge - elle fournit à ses opérateurs les capacités de base pour exécuter des commandes à distance, ainsi que pour récupérer des fichiers à partir d'une URL et les exécuter sur l'hôte compromis. Cependant, il y a une chose à propos de la porte dérobée Anchor qui la rend meilleure que les menaces similaires - elle utilise le protocole DNS pour récupérer les commandes du serveur de contrôle. C'est l'un des principaux motifs pour lesquels la porte dérobée Anchor a réussi à rester non détectée aussi longtemps - les communications DNS sont rarement filtrées par les solutions de pare-feu et les produits antivirus, car cela peut souvent interférer avec les connexions utilisées par les logiciels légitimes. En utilisant exclusivement le protocole DNS, la porte dérobée Anchor peut fonctionner sans générer de trafic réseau bruyant qui serait facilement repéré par des outils automatisés.
L'un des suspects probables derrière la dernière campagne Trojan.TrickBot and Anchor est FIN6, un acteur de la menace à motivation financière qui est régulièrement impliqué dans des attaques contre les appareils de point de vente dans le monde entier.
Des acteurs de la menace motivés par des moyens financiers continuent de frauder des entreprises de dizaines de millions de dollars chaque année. FIN6 est l'un des groupes de cybercriminalité les plus notoires, mais il y en a beaucoup d'autres qui attendent leur chance de prendre l'argent des entreprises du monde entier - il est important de protéger le réseau de votre entreprise avec l'utilisation d'une sécurité informatique à jour et réputée des produits.
