Infos

Le malware bancaire TrickBot serait-il une réincarnation de Dyre ?

Bien que les auteurs et diffuseurs présumés de Dyre ont été arrêtés en Russie, un nouveau malware qui a fait son apparition affiche tant de points communs avec ce trojan bancaire que des chercheurs ont pensé qu’il pourrait y avoir un lien entre les deux.

D’après la sélection d’injections Web de ce nouveau malware bancaire baptisé TrickBot, seuls les clients de banques australiennes seraient en danger. L’analyse réalisée par Fidelis Cybersecurity a démontré que ce nouveau malware ressemble à une réincarnation de Dyre. Toutefois, les chercheurs n’ont pas manqué de signaler qu’à côté des ressemblances à certains niveaux (par exemple, l’utilisation d’un downloader dans les deux cas), le code de TrickBot possède malgré tout des éléments distincts qui mettent en doute l’existence d’un lien de parenté.

D’après les résultats du rapport de Fidelis, publié le week-end dernier, TrickBot a été programmé en C++, alors que le langage de programmation de Dyre est C. Le petit nouveau utilise également Microsoft CryptoAPI au lieu des fonctions intégrées AES ou SHA256 comme dans Dyre. Et dernier point, au lieu d’une exécution directe des commandes, TrickBot interagit avec le gestionnaire de tâches.

Comme l’écrivent les chercheurs : « Sur la base de ces observations, on peut affirmer sans crainte qu’il existe un lien évident entre Dyre et TrickBot, mais TrickBot intègre également de nouveaux efforts, considérables, des développeurs. Nous pensons qu’au moins un des développeurs du malware Dyre original a été impliqué dans le développement de TrickBot. »

Les membres du groupe prétendument à l’origine de Dyre ont été arrêtés à Moscou en novembre 2015 après une vague de vols de mots de passe d’accès à des comptes en banque et d’autres comptes importants des victimes de l’infection. Ce malware bancaire se propageait via des spams dotés d’une pièce jointe malveillante ou d’un lien vers un site infecté.

Les chercheurs qui ont étudié TrickBot se sont penchés avant tout sur le module de chiffrement personnalisé prévu pour le downloader TrickLoader. Il se fait qu’il est identique au module de chiffrement utilisé par les auteurs du bot de spam Cutwail ; rappelons que l’important réseau de zombies Pushdo/Cutwail avait participé activement à l’augmentation de la population de Dyre.

L’analyse de TrickBot a également mis en évidence plusieurs fonctions similaires à des fonctions de Dyre. « Ce bot est également doté d’une version semblable mais légèrement modifiée du module de déchiffrement du trafic du centre de commande, déjà utilisé par Dyre. Dans le cas présent, le module intervient dans le chiffrement/le déchiffrement de toutes les données. L’algorithme utilisé par Dyre pour créer la clé AES et le vecteur d’initialisation au départ des 48 premiers octets de données selon la méthode de rehachage est connue sous le nom de ‘fonction derive_key’. Et dans le nouveau bot, cette fonction a été modifiée » expliquent les chercheurs.

Les premiers échantillons de TrickBot analysés par Fidelis visaient à récolter des informations sur le système, mais récemment un nouveau bot doté d’un module d’injection de code dans les pages Web a été découvert.

Les chercheurs concluent que « bien que ce bot ne présente pas encore tous ces facteurs observés chez Dyre, il est évident qu’il existe un rapport entre le code de ce bot et celui de Dyre. Pour l’instant, tout semble indiquer que le bot est en phase de développement, les individus malintentionnés sont occupés avec la restructuration du réseau de zombies Cutwail en vue d’une diffusion de spam. Il sera intéressant de voir si TrickBot parviendra à atteindre ou à dépasser son prédécesseur. »

Fonte: Threatpost

Le malware bancaire TrickBot serait-il une réincarnation de Dyre ?

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception