Les nouvelles méthodes du cheval de Troie Trickbot

Au cours de ces cinq dernières années, le cheval de Troie bancaire Trickbot a évolué pour devenir un outil multifonctionnel pour les cybercriminels.

Il y a exactement cinq ans, en octobre 2016, nos solutions détectaient pour la première fois un cheval de Troie dénommé Trickbot (alias TrickLoader ou Trickster). À cette époque, il infectait principalement les ordinateurs de particuliers et cherchait surtout à voler les identifiants de connexion des utilisateurs aux services bancaires en ligne. Plus récemment, ses créateurs ont activement transformé ce cheval de Troie bancaire en un outil modulaire multifonctionnel.

De plus, Trickbot est désormais connu dans les groupes de cybercriminels comme véhicule de distribution qui permet d’injecter un malware tiers dans l’infrastructure d’une entreprise. Les médias ont récemment signalé que les auteurs de Trickbot se sont associés avec plusieurs partenaires pour se servir de ce malware pour infecter l’infrastructure d’une entreprise avec tous les autres types de menaces, comme le ransomware Conti.

Cette reconversion pourrait être une menace supplémentaire pour les employés des SOC des entreprises et pour les experts en cybersécurité. Certaines solutions de sécurité identifient encore Trickbot comme un cheval de Troie bancaire, conformément à sa spécialité initiale. Ainsi, les spécialistes en sécurité des informations qui le détectent pourraient penser qu’il s’agit d’une menace quelconque pour particuliers qui s’est accidentellement faufilée dans le réseau de l’entreprise. En réalité, sa présence pourrait indiquer un problème beaucoup plus grave : une tentative d’injection de malware ou la partie visible d’une opération ciblée de cyberespionnage.

Nos experts ont pu télécharger les modules du cheval de Troie à partir d’un de leurs serveurs C&C et les ont minutieusement analysés.

Ce que Trickbot peut actuellement faire

Le principal objectif de cette nouvelle version de Trickbot est de pénétrer dans les réseaux locaux et de se propager. Ses opérateurs peuvent alors s’en servir pour plusieurs tâches, dont la revente de cet accès à l’infrastructure de l’entreprise à des escrocs tiers ou encore le vol de données sensibles. Nous vous détaillons ce que Trickbot peut actuellement faire :

  • Collecter les noms d’utilisateur, le hash des mots de passe et d’autres informations utiles pour des mouvements latéraux dans le réseau à partir de la structure Active Directory et du registre ;
  • Intercepter le trafic Web de l’ordinateur infecté ;
  • Fournir un accès à distance au dispositif via le protocole VNC ;
  • Voler les cookies des navigateurs ;
  • Extraire les identifiants de connexion du registre et les bases de données de diverses applications et de fichiers de configuration, mais aussi voler les clés privées, les certificats SSL et les fichiers de données des portefeuilles de cryptomonnaies ;
  • Intercepter les données qui se saisissent automatiquement et les informations que les utilisateurs écrivent dans les formulaires de sites Web ;
  • Analyser les fichiers stockés sur les serveurs FTP et SFTP :
  • Inclure des scripts malveillants dans les pages Web ;
  • Rediriger le trafic du navigateur via un proxy local ;
  • Pirater les API responsables de la chaîne de vérification des certificats afin de copier les résultats de vérification ;
  • Collecter les identifiants de profils Outlook, intercepter les e-mails de Outlook et s’en servir pour envoyer des spams ;
  • Rechercher le service OWA et lancer une attaque par force brute ;
  • Obtenir un accès de bas niveau au hardware ;
  • Avoir accès à l’ordinateur au niveau du hardware ;
  • Analyser les domaines à la recherche de vulnérabilités ;
  • Trouver les adresses des serveurs SQL et lancer des requêtes ;
  • Se propager via les exploits EternalRomance et EternalBlue ;
  • Créer des connexions VPN.

L’article publié sur Securelist offre une description complète des modules et des indicateurs de compromission.

Comment vous protéger du cheval de Troie Trickbot

Les statistiques montrent que, cette année, Trickbot a principalement été détecté aux États-Unis, en Australie, en Chine, au Mexique et en France. Cela ne signifie pas pour autant que les autres régions ne sont pas menacées, surtout étant donné la disposition de ses créateurs à travailler avec d’autres cybercriminels.

Pour éviter que votre entreprise ne soit victime de ce cheval de Troie, nous vous conseillons d’installer une solution de sécurité de qualité supérieure sur tous les dispositifs ayant accès à Internet. De plus, il convient d’utiliser des services de surveillance des menaces informatiques pour détecter une activité suspecte au sein de l’infrastructure.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.