Le cheval de Troie TrickBot est un cheval de Troie bancaire sophistiqué qui a été identifié pour la première fois en 2016. Si, à l’origine, le malware cherchait à voler des informations telles que les références bancaires en ligne, il a considérablement évolué au cours des quatre dernières années. Plusieurs modules ont été ajoutés, fournissant une foule de capacités malveillantes supplémentaires à TrickBot.

Les capacités du cheval de Troie à voler des informations ont été considérablement améliorées. En plus des références bancaires, il peut désormais voler des données sur le système et le réseau, des identifiants de connexion à des comptes de messagerie électronique et des données fiscales et de propriété intellectuelle.

TrickBot est capable de se déplacer latéralement et d’infecter silencieusement d’autres ordinateurs sur le réseau. Pour ce faire, il utilise des utilitaires Windows légitimes et le kit d’exploitation EternalRomance pour exploiter les machines présentant des vulnérabilités au niveau du service SMBv1 de Windows.

Le malware peut également ajouter une porte dérobée pour avoir un accès persistant à un serveur afin de télécharger des malwares et d’autres charges utiles malveillantes, y compris le ransommware Ryuk.

Le cheval de Troie est fréquemment mis à jour et de nouvelles variantes sont régulièrement publiées. Son infrastructure de commandement et de contrôle est également en constante évolution. Selon une analyse de Bitdefender, plus de 100 nouvelles adresses IP sont y sont ajoutées chaque mois, dont chacun a une durée de vie d’environ 16 jours.

Le malware et son infrastructure sont très sophistiqués et, bien que des mesures aient été prises pour les démanteler, les attaquants parviennent toujours à garder une longueur d’avance sur les concepteurs de systèmes de sécurité.

TrickBot est principalement distribué via des spams, par l’intermédiaire du réseau de botnet Emotet. L’infection par Emotet entraîne le téléchargement de TrickBot.

L’infection par TrickBot entraîne ensuite l’ajout d’un ordinateur au réseau de zombies Emotet. Une fois que toutes les informations utiles ont été obtenues d’un système infecté, le bâton est passé aux opérateurs de Ryuk ransomware, lesquels pourront alors accéder au système.

Une analyse récente d’une variante détectée par Bitdefender le 30 janvier 2020 a montré qu’une autre méthode de distribution a été ajoutée à l’arsenal de TrickBot. Le cheval de Troie dispose désormais d’un module des attaques par force brute sur le protocole Remote Desktop (RDP).

Les attaques par force brute RDP sont principalement menées contre les organisations qui interviennent dans les secteurs des services financiers, de l’éducation et des télécommunications. Elles visent actuellement des organisations aux États-Unis et à Hong Kong, bien qu’il soit probable que les attaques s’étendent géographiquement dans les prochaines semaines.

Elles sont menées pour voler la propriété intellectuelle et les informations financières.

Comme le cheval de Troie TrickBot est modulaire, il peut être constamment mis à jour avec de nouvelles fonctionnalités. L’évolution du malware jusqu’à présent et son taux de succès signifient qu’il continuera à être une menace pendant un certain temps. Heureusement, il est possible de prévenir les infections en appliquant une bonne cyber-hygiène.

Le spam reste le principal mode de diffusion des chevaux de Troie Emotet et TrickBot. Pour les contrer, il est donc indispensable de mettre un filtre antispam avancé.

Étant donné que de nouvelles variantes seront constamment diffusées, les méthodes de détection basées sur les signatures ne suffisent plus à elles seules.

SpamTitan intègre une sandbox alimentée par Bitdefender qui permet d’analyser les pièces suspectes jointes aux e-mails. Le sandboxing permet de détecter les éventuelles activités malveillantes et de garantir qu’elles (et que les nouvelles variantes de malwares jamais vues auparavant) sont identifiéee. Il garantit également que les e-mails suspects sont mis en quarantaine avant qu’ils ne puissent causer aucun dommage.

Si vous n’avez pas besoin du protocole RDP, assurez-vous qu’il est désactivé. Si vous en avez besoin, assurez-vous que l’accès est restreint et que des mots de passe forts sont définis. Utilisez la limitation d’accès pour bloquer les tentatives de connexion après un certain nombre d’échecs et assurez-vous qu’une authentification multifactorielle est mise en œuvre pour empêcher l’utilisation des identifiants volés.

Pour plus d’informations sur SpamTitan Email Security, et pour savoir comment vous pouvez améliorer vos défenses contre les attaques lancées via la messagerie électronique et via le web, contactez l’équipe de TitanHQ dès aujourd’hui.