Trickbot: le cheval de Troie le plus répandu dans les campagnes COVID 19

(Pour Alessandro Rugolo)
10/08/20

Le malware Trickbot appartient à la famille Trojan spyware, principalement utilisé contre les objectifs du secteur bancaire.
Sa première apparition remonte à 2016 et ses cibles ont été identifiées dans plusieurs États, dont les États-Unis, le Canada, la Grande-Bretagne, l'Allemagne, l'Australie, l'Autriche, l'Irlande et la Suisse.

Le malware, en ce qui concerne le développement, a été écrit en C ++, l'un des langages capable d'accéder directement au CPU, aux registres et à la mémoire.

Trickbot est un cheval de Troie qui ne fonctionne que sur les plates-formes Windows. Une fois que le malware infecte un PC, sa tâche est de voler les informations d'identification et les informations bancaires, mais il peut également être utilisé pour exporter des fichiers ou des données en général.

Le malware, en premier lieu, a la capacité de charger le code à l'intérieur du système pour être infecté et de créer une réplique de lui-même dans le dossier% APPDATA%, en supprimant le fichier d'origine.
Il est donc capable de collecter des informations sensibles telles que des données personnelles et des identifiants bancaires (en utilisant les informations collectées par les navigateurs) puis de les exfiltrer mais également des adresses email.

Grâce à sa chaîne C2, il est capable de se mettre à jour vers de nouvelles versions et d'exfiltrer des données. Le canal utilisé pour sa chaîne C2 est crypté avec un cryptage symétrique (AES CBC 256 bits).

Il est capable de rediriger l'utilisateur vers de faux sites dans le but de collecter ses informations d'identification.

Trickbot a été employé par certains groupes, notamment TA505 et Wizard Spider.

Il existe différentes versions du malware, pour les systèmes 32 et 64 bits.

Le vecteur d'infection est généralement un fichier Word avec des macros actives, reçu par e-mail lors d'une campagne spearphishing.
Il est possible d'identifier la présence de Trickbot sur notre système en mode manuel simplement en regardant le dossier% APPDATA% et en vérifiant la présence des deux fichiers Trickbot typiques:
- client_id, qui contient les données d'identification d'un utilisateur infecté;
- group_tag, qui contient les données d'identification de la campagne d'infection.

Dans le même dossier se trouve le fichier exécutable Trickbot copié à l'origine à partir du fichier d'origine.

Il semble au contraire qu'il n'existe pour le moment aucun moyen d'identifier sa présence grâce à des systèmes d'analyse automatique du trafic, car le trafic créé vers le système C2 est crypté (SSL).
Au lieu de cela, il peut être identifié en analysant la mémoire, mais il faut tenir compte du fait que les différentes versions laissent des traces différentes.

Pour la suppression de Trickbot, vous pouvez désigner certains logiciels sous le nom de «malwarebytes» ou vous devez procéder manuellement, selon la version du système d'exploitation, rien d'impossible, mais pas facile.

Trickbot est un malware diffusé par le biais de campagnes de phishing ou de spearphishing, il est donc très important de porter une extrême attention aux e-mails reçus et d'adopter le principe sain de «ne pas ouvrir un e-mail ou un fichier suspect», même s'il n'est pas toujours facile à appliquer.

Trickbot, comme tout malware, exploite les failles de sécurité du système.
Pour vous protéger, la configuration correcte des systèmes utilisés est parfois suffisante, avec une référence particulière à la bonne utilisation des comptes d'administration.

Nous recommandons également l'utilisation de logiciels et de systèmes couverts par le support de la société mère, notamment en ce qui concerne les systèmes d'exploitation qui sont à la base de la sécurité.

L'utilisation de "Détection et réponse des points finaux" peut aider, tant que le personnel est en mesure de les gérer.

Pour en savoir plus:
https://fraudwatchinternational.com/malware/trickbot-malware-works/
https://attack.mitre.org/software/S0266/
https://www.malwaretech.com/2018/03/best-programming-languages-to-learn-...
https://www.securityartwork.es/wp-content/uploads/2017/07/Trickbot-repor...
https://www.pcrisk.it/guide-per-la-rimozione/8754-trickbot-virus
https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain...