Porte dérobée Tropidoor

Par Mezo en Portes dérobées, Menace persistante avancée (APT)

Se traduisent par :

Tropidoor est un programme malveillant classé comme porte dérobée. Les portes dérobées sont des logiciels malveillants conçus pour fournir un accès non autorisé à un système compromis. Certaines variantes peuvent également télécharger et installer des logiciels ou composants malveillants supplémentaires, augmentant ainsi la gravité d'une attaque.

Table des matières

Lien entre Tropidoor, BeaverTail et les acteurs de la menace nord-coréenne

Tropidoor a été observé lors de campagnes de cyberattaques, aux côtés d'un logiciel malveillant de téléchargement et d'un autre programme malveillant appelé BeaverTail . Ce dernier est lié à des acteurs malveillants nord-coréens et a été utilisé pour cibler des développeurs, notamment en Corée du Sud.

Comment Tropidoor est diffusé : campagnes de phishing axées sur le recrutement

Des cybercriminels ont diffusé Tropidoor à l'aide d'e-mails de phishing à caractère promotionnel. Ces messages frauduleux se faisaient passer pour des offres d'emploi de la communauté DEV (dev.to) et contenaient des liens vers un dépôt BitBucket hébergeant du code malveillant. Ce dépôt incluait BeaverTail et le téléchargeur exécutant Tropidoor.

Au-delà de la communauté DEV : LinkedIn et autres vecteurs d’attaque

BeaverTail a été largement diffusé via des campagnes d'hameçonnage sur LinkedIn, utilisant de fausses offres d'emploi comme appât. Bien que ces campagnes aient ciblé des utilisateurs du monde entier, la majorité des victimes semblent se trouver en Corée du Sud.

Tactiques de diffusion de logiciels malveillants : hameçonnage, publicité malveillante et autres

Les logiciels malveillants comme Tropidoor sont généralement distribués via :

E-mails de phishing contenant des pièces jointes ou des liens dangereux
Téléchargements furtifs à partir de sites Web compromis
Malvertising (publicités dangereuses qui déclenchent des téléchargements)
Sources de logiciels non fiables, telles que les sites de logiciels gratuits et les réseaux P2P
Logiciels piratés et outils d'activation illégaux (cracks)
Fausses mises à jour de logiciels
Mécanismes d'auto-propagation utilisant des réseaux locaux ou des clés USB

Tromperie BitBucket : la tactique du phishing

Une autre tentative d'hameçonnage impliquait des courriels se faisant passer pour une société appelée AutoSquare. Les victimes étaient invitées à cloner un projet BitBucket, contenant un package npm hébergeant BeaverTail et un téléchargeur de DLL malveillant déguisé en car.dll. Ce téléchargeur était exécuté via un outil de vol et de chargement JavaScript.

Les capacités de Tropidoor : une puissante cyberarme

Une fois exécuté, Tropidoor fonctionne en mémoire et interagit avec son serveur de commandement et de contrôle (C2). Cela lui permet de :

Collecter des informations système (nom de l'appareil, détails du système d'exploitation, informations sur le matériel)
Gérer les fichiers (rechercher, supprimer, télécharger, collecter)
Exécuter et terminer les processus
Capturer des captures d'écran
Injecter du code malveillant dans les processus en cours d'exécution
Charger et exécuter des charges utiles en mémoire

Une menace en constante évolution : l’avenir de Tropidoor

Les développeurs de logiciels malveillants améliorent régulièrement leurs outils, et les futures versions de Tropidoor pourraient introduire de nouvelles fonctionnalités. Face à cette évolution, il est crucial pour les équipes de cybersécurité de rester vigilantes face aux menaces émergentes.

La connexion du groupe Lazarus : une tactique familière

Tropidoor présente des similitudes avec LightlessCan , un autre malware utilisé par le groupe Lazarus , une organisation de hackers affiliée à la Corée du Nord. Comme son prédécesseur, BLINDINGCAN (alias AIRDRY ou ZetaNile), Tropidoor implémente directement des commandes Windows telles que schtasks, ping et reg pour se fondre dans l'activité légitime du système.

Protégez-vous : restez à l’abri des attaques Tropidoor

Pour réduire le risque d’infection, les utilisateurs doivent :

Soyez prudent avec les pièces jointes et les liens des e-mails
Évitez de télécharger des logiciels provenant de sources non vérifiées
Maintenez les correctifs de sécurité et les logiciels à jour
Utilisez des mots de passe forts et uniques

Utiliser des outils anti-malware et de protection des terminaux réputés

En restant vigilants et en suivant les meilleures pratiques de cybersécurité, les particuliers et les organisations peuvent mieux se défendre contre des menaces sophistiquées comme Tropidoor.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Porte dérobée Tropidoor

Lien entre Tropidoor, BeaverTail et les acteurs de la menace nord-coréenne

Comment Tropidoor est diffusé : campagnes de phishing axées sur le recrutement

Au-delà de la communauté DEV : LinkedIn et autres vecteurs d’attaque

Tromperie BitBucket : la tactique du phishing

Les capacités de Tropidoor : une puissante cyberarme

Une menace en constante évolution : l’avenir de Tropidoor

La connexion du groupe Lazarus : une tactique familière

Protégez-vous : restez à l’abri des attaques Tropidoor

Soumettre un Commentaire

Tendance

DisplayProgress

MethodApplication

EnvironmentMax

Le plus regardé

Discord est bloqué sur un écran gris

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran