Infos

IBM expose les nouveautés de TrickBot

D’après les données récoltées par IBM X-Force, le trojan bancaire TrickBot a enrichi sa liste de cibles ainsi que son arsenal de manipulation des navigateurs.

« Nous nous attendons à une expansion de la campagne malveillante et des attaques d’escroquerie, principalement contre les comptes professionnels et les comptes d’entreprise » peut-on lire dans le blog de Limor Kessem, expert en sécurité de l’information chez IBM.

D’après Limor Kessem, TrickBot a connu une évolution très rapide au cours des trois derniers mois au niveau du développement et des essais. Il est désormais opérationnel à 100 % et utilise les « techniques les plus avancées en matière de manipulation des navigateurs observées ces dernières années parmi les malwares bancaires », à savoir l’injection côté serveur et la redirection. De plus, alors que TrickBot s’intéressait à ses débuts principalement aux comptes dans des banques australiennes, il vise désormais également des institutions financières en Nouvelle-Zélande, en Grande-Bretagne, en Allemagne et au Canada.

Limor Kessem explique qu’au début, TrickBot n’était pas considéré comme un malware bancaire ; toutefois, au mois d’octobre, il a obtenu des injections Web et sa fonction est devenue évidente. Au cours du mois dernier, les chercheurs ont observé une modification dans la tactique de TrickBot. Limor Kessem nous explique « qu’au début du mois de novembre, la portée a changé littéralement du jour au lendemain après la diffusion par les opérateurs de Trickbot de deux nouvelles configurations. Il ne s’agissait pas du simple ajout d’une adresse Internet dans les paramètres pour de nouvelles cibles (des banques britanniques), mais bien de redirections personnalisées. C’est une méthode de manipulation très avancée du contenu que la victime voit dans le navigateur. »

Sur la base des résultats de l’analyse de TrickBot et de sa vitesse de développement, l’analyste en a conclu que les individus malintentionnés avaient créé les redirections avant de lancer les nouvelles campagnes ou qu’ils les avaient tout simplement achetées à un autre groupe.

Selon IBM, TrickBot se propage via de la publicité malveillante avec le kit d’exploitation RIG, mais également via des pièces jointes dans des spams ou des macros Office. Dans ce cas, le malware bancaire est diffusé via le gestionnaire de téléchargement Godzilla. Les diffuseurs du malware organisent des diffusions de plus en plus ciblées, ce qui a conforté les chercheurs dans l’idée que TrickBot s’intéresse avant tout aux comptes professionnels. Limor Kessem constate que le spam malveillant est envoyé aux entreprises et non pas via une diffusion sans discernement. C’est une autre nouveauté pour TrickBot.

Pour paraphraser le dicton, la seule constante dans la vie de TrickBot, c’est le changement. Limor Kessem signale que les méthodes d’infection peuvent changer à nouveau à tout moment.

L’expert estime que la raison du développement continu de ce trojan est à chercher du côté des liens entretenus entre ses développeurs et d’autres diffuseurs de malwares et opérateurs de bots. Cette hypothèse est appuyée par l’identité du module de chiffrement utilisé par TrickBot (plus exactement son module de téléchargement), les bots de spam Cutwail et le malware bancaire Vawtrak. Cette particularité a également été notée par les chercheurs de chez Fidelis Cybersecurity dans le rapport sur TrickBot qu’ils avaient publié le mois dernier. Qui plus est, Fidelis a tendance à voir certains points communs entre TrickBot et Dyre.

Fonte: Threatpost

IBM expose les nouveautés de TrickBot

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception