Le malware bancaire TrickBot serait-il une réincarnation de Dyre ?

Bien que les auteurs et diffuseurs présumés de Dyre ont été arrêtés en Russie, un nouveau malware qui a fait son apparition affiche tant de points communs avec ce trojan bancaire que des chercheurs ont pensé qu’il pourrait y avoir un lien entre les deux.

D’après la sélection d’injections Web de ce nouveau malware bancaire baptisé TrickBot, seuls les clients de banques australiennes seraient en danger. L’analyse réalisée par Fidelis Cybersecurity a démontré que ce nouveau malware ressemble à une réincarnation de Dyre. Toutefois, les chercheurs n’ont pas manqué de signaler qu’à côté des ressemblances à certains niveaux (par exemple, l’utilisation d’un downloader dans les deux cas), le code de TrickBot possède malgré tout des éléments distincts qui mettent en doute l’existence d’un lien de parenté.

D’après les résultats du rapport de Fidelis, publié le week-end dernier, TrickBot a été programmé en C++, alors que le langage de programmation de Dyre est C. Le petit nouveau utilise également Microsoft CryptoAPI au lieu des fonctions intégrées AES ou SHA256 comme dans Dyre. Et dernier point, au lieu d’une exécution directe des commandes, TrickBot interagit avec le gestionnaire de tâches.

Comme l’écrivent les chercheurs : « Sur la base de ces observations, on peut affirmer sans crainte qu’il existe un lien évident entre Dyre et TrickBot, mais TrickBot intègre également de nouveaux efforts, considérables, des développeurs. Nous pensons qu’au moins un des développeurs du malware Dyre original a été impliqué dans le développement de TrickBot. »

Les membres du groupe prétendument à l’origine de Dyre ont été arrêtés à Moscou en novembre 2015 après une vague de vols de mots de passe d’accès à des comptes en banque et d’autres comptes importants des victimes de l’infection. Ce malware bancaire se propageait via des spams dotés d’une pièce jointe malveillante ou d’un lien vers un site infecté.

Les chercheurs qui ont étudié TrickBot se sont penchés avant tout sur le module de chiffrement personnalisé prévu pour le downloader TrickLoader. Il se fait qu’il est identique au module de chiffrement utilisé par les auteurs du bot de spam Cutwail ; rappelons que l’important réseau de zombies Pushdo/Cutwail avait participé activement à l’augmentation de la population de Dyre.

L’analyse de TrickBot a également mis en évidence plusieurs fonctions similaires à des fonctions de Dyre. « Ce bot est également doté d’une version semblable mais légèrement modifiée du module de déchiffrement du trafic du centre de commande, déjà utilisé par Dyre. Dans le cas présent, le module intervient dans le chiffrement/le déchiffrement de toutes les données. L’algorithme utilisé par Dyre pour créer la clé AES et le vecteur d’initialisation au départ des 48 premiers octets de données selon la méthode de rehachage est connue sous le nom de ‘fonction derive_key’. Et dans le nouveau bot, cette fonction a été modifiée » expliquent les chercheurs.

Les premiers échantillons de TrickBot analysés par Fidelis visaient à récolter des informations sur le système, mais récemment un nouveau bot doté d’un module d’injection de code dans les pages Web a été découvert.

Les chercheurs concluent que « bien que ce bot ne présente pas encore tous ces facteurs observés chez Dyre, il est évident qu’il existe un rapport entre le code de ce bot et celui de Dyre. Pour l’instant, tout semble indiquer que le bot est en phase de développement, les individus malintentionnés sont occupés avec la restructuration du réseau de zombies Cutwail en vue d’une diffusion de spam. Il sera intéressant de voir si TrickBot parviendra à atteindre ou à dépasser son prédécesseur. »

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *