Trojan.TrickBot

Trojan.TrickBot, un cheval de Troie bancaire, semble être le successeur de Dyre, un cheval de Troie bancaire bien connu qui était déjà responsable de nombreuses attaques à travers le monde. Il existe certainement un lien entre les deux chevaux de Troie. Ces menaces évoluent constamment, gagnant de nouvelles fonctionnalités car elles se défendent contre les nouvelles mesures de sécurité mises en œuvre par les chercheurs en sécurité PC. Dyre , également connu sous le nom de Dyreza, semble avoir évolué pour devenir Trojan.TrickBot, un nouveau cheval de Troie bancaire.

Cette semaine dans Malware Episode 20 Partie 2: Bazar Malware lié aux campagnes de chevaux de Troie Trickbot Banking pour voler des données personnelles

Trojan.TrickBot est apparu pour la première fois en octobre 2016 et à l'époque, il n'attaquait que des banques en Australie. À partir d'avril 2017, des attaques contre des banques de premier plan au Royaume-Uni, aux États-Unis, en Suisse, en Allemagne, au Canada, en Nouvelle-Zélande, en France et en Irlande ont également été signalées. Les autres noms sous lesquels ce cheval de Troie est connu incluent TheTrick, Trickster, TrickLoader, Trojan.TrickBot.e, etc. les auteurs du cheval de Troie bancaire ont ajouté à son code un composant auto-diffusant qui a rendu le malware capable de se propager automatiquement. De toute évidence, l'objectif était d'infecter autant d'ordinateurs que possible, voire des réseaux entiers avec Trojan.TrickBot. En 2018, Trojan.TrickBot est réapparu avec une gamme de capacités encore plus large.

TrickBot aime coopérer avec d’autres menaces de logiciels malveillants

En janvier 2019, des chercheurs ont découvert une campagne active de ransomware Ryuk dans laquelle des victimes ciblées avaient déjà été attaquées par Emotet et TrickBot. Il est prouvé que les cybercriminels ont d'abord livré Emotet par le biais de spams et de diverses techniques d'ingénierie sociale. Dans ce schéma, un ordinateur infecté par Emotet a été utilisé pour distribuer TrickBot, qui à son tour, a volé des informations sensibles qui ont aidé les attaquants à savoir si la victime est une cible appropriée de l'industrie. Si tel est le cas, ils déploieront le ransomware Ryuk sur le réseau de l'entreprise. Auparavant, en mai 2018, TrickBot avait également coopéré avec un autre cheval de Troie bancaire - IcedID.

Lorsqu'il travaille seul, TrickBot se propage généralement sur des pièces jointes corrompues déguisées en document Microsoft Office avec des macros activées. Lorsque le fichier est ouvert, les scripts malveillants s'exécutent et téléchargent furtivement le logiciel malveillant. Les dernières versions de TrickBot à partir du début de 2019 sont livrées par le biais d'e-mails de spam sur le thème de la saison prétendant provenir d'une grande société de conseil financier. Les e-mails attirent les utilisateurs avec un contenu lié à la fiscalité, une aide prometteuse pour certains problèmes fiscaux américains. Cependant, une fois ouverte, la feuille de calcul Microsoft Excel jointe à l'e-mail dépose TrickBot sur l'ordinateur de l'utilisateur.

Une brève analyse du prédécesseur de Trojan.TrickBot, le cheval de Troie Dyre

Le cheval de Troie Dyre , qui est associé à un vaste réseau de zombies composé de centaines de milliers d'ordinateurs infectés, a attaqué des dizaines de milliers d'ordinateurs dans le monde en novembre 2015. Plus de mille banques et institutions financières pourraient avoir été compromises par Dyre. Les activités de cette menace ont cessé en novembre 2015, ce qui a coïncidé avec le perquisition des bureaux d'une entreprise russe qui faisait partie du groupe d'arnaqueurs responsable de Dyre. Malheureusement, il semble qu'une personne impliquée dans le développement de Dyre en 2015 puisse désormais participer au développement de Trojan.TrickBot.

Surveiller l’évolution du Trojan.TrickBot

Trojan.TrickBot a été détecté pour la première fois en septembre 2016 dans le cadre d'une campagne contre les menaces ciblant les utilisateurs d'ordinateurs en Australie. Parmi les institutions financières australiennes touchées figurent NAB, St. George, Westpac et ANZ. Les attaques Trojan.TrickBot initiales impliquaient un module collecteur. Les nouveaux échantillons de Trojan.TrickBot incluent également des webinjects dans leur attaque et semblent encore en cours de test.

Il y a plusieurs raisons pour lesquelles les analystes de sécurité PC soupçonnent qu'il existe un lien étroit entre Trojan.TrickBot et Dyre. Le chargeur impliqué dans la plupart des attaques est très similaire. Une fois que vous avez décodé les menaces, les similitudes deviennent très évidentes. Cela signifie que de nombreux escrocs responsables du développement et de la mise en œuvre de Dyre semblent être redevenus actifs, échappant à leur arrestation et reprenant leurs activités un an après les attaques de Dyre. Trojan.TrickBot semble être une version réécrite de Dyre, conservant plusieurs des mêmes fonctions mais écrite d'une manière différente. Par rapport à Dyre, il existe une grande quantité de code en C ++ dans l'implémentation Trojan.TrickBot. Trojan.TrickBot tire parti de la CryptoAPI de Microsoft plutôt que d'avoir des fonctions intégrées pour ses opérations de chiffrement correspondantes. Voici les différences entre Trojan.TrickBot et Dyre:

• Trojan.TrickBot n'exécute pas de commandes directement mais interagit à la place avec le planificateur de tâches à l'aide de COM afin de maintenir la persistance sur l'ordinateur infecté.
• Plutôt que d'utiliser une routine de hachage SHA256 intégrée ou une routine AES, Trojan.TrickBot utilise l'API Microsoft Crypto.
• Alors que Dyre a été principalement écrit en utilisant le langage de programmation C, Trojan.TrickBot utilise une plus grande partie de C ++ pour son code.
• En plus d'attaquer de grandes banques internationales, Trojan.TrickBot peut également voler des portefeuilles Bitcoin.
• TrojanTrickBot a la capacité de collecter les e-mails et les informations de connexion via l'outil Mimikatz.
• De nouvelles fonctionnalités sont également constamment ajoutées à Trojan.TrickBot.

Ces différences, cependant, semblent indiquer qu'il existe une relation claire entre Dyre et Trojan.TrickBot, mais que Trojan.TrickBot représente en fait un stade de développement plus avancé de la menace antérieure. Trojan.TrickBot est chargé à l'aide du chargeur de menaces «TrickLoader», qui a été associé à plusieurs autres menaces, notamment Pushdo , Cutwail et Vawtrak . Cutwail, en particulier, a également été associé à la menace Dyre, ce qui rend probable que les escrocs responsables de Trojan.TrickBot tentent de reconstruire les vastes capacités dont ils bénéficiaient avec leur attaque précédente.

Détails opérationnels

Trojan.TrickBot est une menace sérieuse pour la confidentialité des utilisateurs, car son objectif principal est de voler les informations de connexion des utilisateurs pour les sites Web bancaires en ligne, les comptes Paypal, les portefeuilles de crypto-monnaie et d'autres comptes financiers et personnels. Le malware utilise deux techniques pour inciter ses victimes à fournir les données. La première technique est appelée injection statique et consiste à remplacer la page de connexion du site Web bancaire légitime par une fausse qui la copie exactement. La deuxième méthode est appelée injection dynamique et consiste à détourner le navigateur de la victime et à le rediriger vers un serveur contrôlé par les opérateurs du malware chaque fois que l'utilisateur saisit une URL appartenant à un site Web bancaire ciblé. Dans les deux cas, les données de connexion saisies par l'utilisateur sont capturées et envoyées aux opérateurs Trojan.TrickBot, et respectivement, peuvent être utilisées à mauvais escient pour commettre une fraude financière.

Trojan.TrickBot est livré dans plusieurs modules différents et un fichier de configuration. Chacun des modules remplit une tâche spécifique, comme assurer la propagation et la persistance du malware, voler les informations d'identification, etc. Afin d'éviter toute détection, les modules malveillants sont injectés dans des processus légitimes, y compris svchost. En outre, TrickBot tente de désactiver et de supprimer Windows Defender comme autre mesure pour réduire le risque d'être détecté.

Le dossier d'installation de Trojan.TrickBot se trouve dans C: \ user \ AppData \ Roaming \% Name%, où "% Name%" dépend de la version particulière du malware. Il existe également une copie de TrickBot avec un nom légèrement différent dans ce même dossier, ainsi qu'un fichier settings.ini et un dossier Data. TrickBot assure sa persistance en créant une tâche planifiée et un service. Le nom de la tâche dépend de la variante du malware, il pourrait être nommé "NetvalTask", par exemple. L'entrée de Registre est générée de manière aléatoire et située sous la ruche de service, par exemple, \ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath. Les opérateurs de Trojan.TrickBot mettent en place les serveurs Command & Control avec lesquels le malware communique sur des routeurs sans fil piratés.

Les nouvelles versions de TrickBot sont dotées de fonctionnalités améliorées

En novembre 2018, des versions mises à jour de Trojan.TrickBot ont frappé le marché des logiciels malveillants, démontrant des fonctionnalités plus avancées. Parmi ceux-ci se trouve la fonctionnalité de verrouillage d'écran observée dans certaines versions du malware apparaissant dans les quelques mois précédant novembre 2018. Certains chercheurs pensaient à l'époque que grâce à ce nouveau composant, les auteurs du malware visaient à détenir les victimes contre rançon si le cheval de Troie était incapable d'exfiltrer les informations d'identification bancaires de l'ordinateur infecté. Des capacités améliorées pour éviter la détection ont également été ajoutées vers novembre 2018. Pourtant, une fonctionnalité encore plus dangereuse a été ajoutée à l'arsenal de Trojan.TrickBot à ce moment-là via un nouveau module de saisie de mot de passe appelé «pwgrab» - le malware n'était plus intéressé par le visité uniquement par les sites Web des utilisateurs, mais il a également pu détourner des applications populaires et voler des mots de passe enregistrés à partir de là. En dehors de cela, TrickBot a également commencé à collecter des données de navigation et de système, telles que les cookies, les termes de recherche, l'historique, les informations sur le processeur, les processus en cours, etc. De plus, le cheval de Troie a la possibilité de se mettre à jour une fois installé sur une machine, ce qui signifie qu'un ordinateur infecté aura toujours la dernière version de TrickBot, quel que soit le moment de l'infection initiale.

Une autre nouvelle version de Trojan.TrickBot a été découverte par les chercheurs de Trend Micro en janvier 2019. Cette nouvelle variante a ajouté trois nouvelles fonctionnalités au module de vol de mot de passe de TrickBot, conçu pour cibler le Virtual Network Computing (VNC), PuTTY et le Remote Desktop Protocol (RDP). Le module pwgrab de TrickBot capture les informations d'identification VNC en recherchant les fichiers contenant «.vnc.lnk» dans leurs noms dans «% APPDATA% \ Microsoft \ Windows \ Recent», «% USERPROFILE% \ Documents» et «% USERPROFILE% \ Téléchargements "dossiers. Pour récupérer les informations d'identification PuTTY et RDP, TrickBot recherche dans la clé de registre Software \ SimonTatham \ Putty \ Sessions et utilise «l'API CredEnumerateA» pour identifier et voler les mots de passe enregistrés. Ensuite, pour identifier le nom d'utilisateur, le nom d'hôte et le mot de passe enregistrés par identifiant RDP, le logiciel malveillant analyse la chaîne "target = TERMSRV". TrickBot télécharge un fichier de configuration nommé «dpost» à partir du serveur Command & Control des opérateurs et utilise une commande POST configurée pour exfiltrer les informations d'identification VNC, PuTTY et RDP collectées à partir des périphériques infectés.

En janvier 2019, des chercheurs ont également découvert que TrickBot agit également comme un accès en tant que service pour d'autres acteurs - une fois qu'il infecte une machine, il la transforme en bot et crée des coquilles inversées, permettant ainsi à d'autres opérateurs de logiciels malveillants d'accéder au réseau infecté. et déposez leurs propres charges utiles malveillantes.

Prévention des attaques Trojan.TrickBot

La meilleure façon de prévenir les attaques Trojan.TrickBot est de s'assurer que votre ordinateur est protégé par un programme anti-malware fiable et entièrement mis à jour. Les mots de passe des services bancaires en ligne doivent être forts et une authentification en deux étapes doit être mise en œuvre. Soyez prudent lorsque vous gérez vos comptes bancaires en ligne, évitez ces opérations sur des ordinateurs inconnus et analysez régulièrement votre ordinateur pour détecter les menaces avec une application de sécurité mise à jour.

SpyHunter détecte et supprime Trojan.TrickBot