IBM expose les nouveautés de TrickBot

D’après les données récoltées par IBM X-Force, le trojan bancaire TrickBot a enrichi sa liste de cibles ainsi que son arsenal de manipulation des navigateurs.

« Nous nous attendons à une expansion de la campagne malveillante et des attaques d’escroquerie, principalement contre les comptes professionnels et les comptes d’entreprise » peut-on lire dans le blog de Limor Kessem, expert en sécurité de l’information chez IBM.

D’après Limor Kessem, TrickBot a connu une évolution très rapide au cours des trois derniers mois au niveau du développement et des essais. Il est désormais opérationnel à 100 % et utilise les « techniques les plus avancées en matière de manipulation des navigateurs observées ces dernières années parmi les malwares bancaires », à savoir l’injection côté serveur et la redirection. De plus, alors que TrickBot s’intéressait à ses débuts principalement aux comptes dans des banques australiennes, il vise désormais également des institutions financières en Nouvelle-Zélande, en Grande-Bretagne, en Allemagne et au Canada.

Limor Kessem explique qu’au début, TrickBot n’était pas considéré comme un malware bancaire ; toutefois, au mois d’octobre, il a obtenu des injections Web et sa fonction est devenue évidente. Au cours du mois dernier, les chercheurs ont observé une modification dans la tactique de TrickBot. Limor Kessem nous explique « qu’au début du mois de novembre, la portée a changé littéralement du jour au lendemain après la diffusion par les opérateurs de Trickbot de deux nouvelles configurations. Il ne s’agissait pas du simple ajout d’une adresse Internet dans les paramètres pour de nouvelles cibles (des banques britanniques), mais bien de redirections personnalisées. C’est une méthode de manipulation très avancée du contenu que la victime voit dans le navigateur. »

Sur la base des résultats de l’analyse de TrickBot et de sa vitesse de développement, l’analyste en a conclu que les individus malintentionnés avaient créé les redirections avant de lancer les nouvelles campagnes ou qu’ils les avaient tout simplement achetées à un autre groupe.

Selon IBM, TrickBot se propage via de la publicité malveillante avec le kit d’exploitation RIG, mais également via des pièces jointes dans des spams ou des macros Office. Dans ce cas, le malware bancaire est diffusé via le gestionnaire de téléchargement Godzilla. Les diffuseurs du malware organisent des diffusions de plus en plus ciblées, ce qui a conforté les chercheurs dans l’idée que TrickBot s’intéresse avant tout aux comptes professionnels. Limor Kessem constate que le spam malveillant est envoyé aux entreprises et non pas via une diffusion sans discernement. C’est une autre nouveauté pour TrickBot.

Pour paraphraser le dicton, la seule constante dans la vie de TrickBot, c’est le changement. Limor Kessem signale que les méthodes d’infection peuvent changer à nouveau à tout moment.

L’expert estime que la raison du développement continu de ce trojan est à chercher du côté des liens entretenus entre ses développeurs et d’autres diffuseurs de malwares et opérateurs de bots. Cette hypothèse est appuyée par l’identité du module de chiffrement utilisé par TrickBot (plus exactement son module de téléchargement), les bots de spam Cutwail et le malware bancaire Vawtrak. Cette particularité a également été notée par les chercheurs de chez Fidelis Cybersecurity dans le rapport sur TrickBot qu’ils avaient publié le mois dernier. Qui plus est, Fidelis a tendance à voir certains points communs entre TrickBot et Dyre.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *