Le dernier malware Trickbot a démontré que les cybercriminels sont maîtres du développement de menaces cybercriminelles. Alors que les entreprises mettent à niveau leurs systèmes pour se protéger contre une menace, les pirates changent de tactique pour échapper à la détection.
De nouvelles techniques sont toujours utilisées pour déjouer les outils de détection. Les sites de phishing, par exemple, utilisent souvent des tactiques d’évasion pour éviter d’être détectés par les filtres web, les utilisateurs finaux et même les administrateurs réseau.
Les techniques varient et comprennent l’utilisation du HTTPS pour faire croire aux utilisateurs qu’un site est sûr ou l’utilisation d’images pour afficher du texte, ainsi que l’interdiction pour les administrateurs réseau de détecter un site de phishing.
Les malwares qui sont à la base de nombreuses campagnes de phishing font souvent l’objet d’une transformation. Cette fois-ci, il s’agit du tristement célèbre cheval de Troie bancaire appelé TrickBot.
Les astuces des pirates derrière le malware TrickBot
TrickBot est un cheval de Troie malveillant qui a été conçu à l’origine pour cibler les utilisateurs de l’Internet dans les banques. TrickBot est relativement nouveau dans le cycle de vie des malwares, ayant été repéré dans la nature pour la première fois en 2016. Depuis lors, il a infecté environ un million d’ordinateurs dans le monde entier.
TrickBot est conçu pour cibler à la fois les particuliers et les entreprises, en se concentrant sur le vol d’identifiants pour accéder à des comptes bancaires en ligne ou pour voler d’autres informations personnelles qui sont ensuite utilisées pour commettre des vols d’identité et d’autres fraudes. Plus récemment, TrickBot a été associé à la distribution de ransomwares, le malware agissant comme un facilitateur de l’infection.
TrickBot a de nombreuses astuces et il doit être considéré comme un système de malwares très polyvalent, et non seulement comme un exécutable malveillant à usage unique.
Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) ont récemment publié un avertissement concernant une attaque imminente contre les soins de santé. Ils ont affirmé que TrickBot était utilisé pour infecter un système, ce qui ouvre la porte à d’autres malwares, en créant un centre de « commande et de contrôle » utilisé par les pirates pour infecter un réseau.
Afin d’éviter que le malware TrickBot n’interrompe ou n’ait un impact sur les élections américaines, Microsoft a choisi de charger le système et a demandé une ordonnance du tribunal pour fermer les serveurs qui se trouvent derrière TrickBot. Dans un avis publié le 12 octobre 2020, Microsoft a déclaré qu’ils y étaient parvenus :
« …grâce à une ordonnance de la cour que nous avons obtenue ainsi qu’à une action technique que nous avons exécutée en partenariat avec des fournisseurs de télécommunications du monde entier, nous avons maintenant coupé les infrastructures clés, de sorte que ceux qui exploitent TrickBot ne pourront plus lancer de nouvelles infections ou activer des ransomwares déjà déposés dans les systèmes informatiques ».
Cependant, une fois que les élections sont terminées, TrickBot refait surface.
Autres astuces de TrickBot
Les développeurs de TrickBot sont rusés. Afin d’éviter d’autres démantèlements, ils ont intégré de nouvelles fonctionnalités dans la conception du malware. Les 3 et 18 novembre, respectivement, les versions 2000016 et 100003 de TrickBot ont été déployées ; la numérotation apparemment désynchronisée n’étant qu’une indication du passage à un système de version plus ancien.
Les chercheurs de Bitdefender ont trouvé une nouvelle vie dans les anciens malwares
Une nouvelle infrastructure de commandement et de contrôle (C2)
TrickBot utilise désormais des routeurs Mikrotik compromis comme base de ses communications C2. Une recherche effectuée par Shodan, un système qui recherche les appareils connectés, a trouvé 1,7 million de ces routeurs, dont beaucoup peuvent être compromis en utilisant des informations d’identification volées et d’autres vulnérabilités. La dernière version de TrickBot dispose également d’une option de repli si un serveur C&C ne fonctionne pas.
L’obfuscation
L’une des astuces utilisées par TrickBot et d’autres malwares consiste à se cacher des filtres web et même des administrateurs réseau en utilisant des techniques d’obscurcissement.
Une analyse de la dernière version de TrickBot par Huntress a révélé que les pirates derrière TrickBot ont obscurci un fichier de lot utilisé pour livrer la charge utile du malware en utilisant des lettres et d’autres caractères apparemment placés au hasard. L’équipe de Huntress pense que les pirates ont fait cela pour rendre difficile la détection des preuves du malware par les logiciels d’analyse automatisés. Elle poursuit en disant que, bien que le script utilisé pour délivrer le malware puisse sembler absurde, il ne l’est pas. Il y a suffisamment d’informations pour que le processeur de fichiers batch Windows cmd [.] exe puisse interpréter et exécuter le malware.
Selon l’analyste de Huntress : « Il est indéniable que la mise en place de l’automatisation améliore réellement la posture de sécurité et la défense d’une organisation… mais les outils automatisés, comme pour tout, ne devraient être qu’une couche de protection. »
TrickBot peut venir d’un appareil près de chez vous
Selon Bitdefender, la dernière version de TrickBot a été utilisée dans des attaques aux États-Unis, en Malaisie, en Roumanie, en Russie et à Malte. Avec l’amélioration de l’obscurcissement et le fonctionnement des serveurs de commande et de contrôle, ce malware continuera probablement à infecter des ordinateurs dans le monde entier.
Il convient de noter que les dernières techniques d’évasion de TrickBot montrent que la prévention de la cybersécurité n’est pas une question de marche ou d’arrêt. Au contraire, les initiatives de sécurité doivent utiliser plusieurs portes ; la première porte peut arrêter la grande majorité des cybermenaces, mais les portes suivantes, utilisant des techniques plus avancées, sont nécessaires pour arrêter les menaces qui échappent à la détection.
Des techniques avancées qui utilisent des technologies intelligentes, notamment l’apprentissage machine et l’analyse comportementale, sont nécessaires pour bloquer les malwares modernes.
La détection et la surveillance des menaces en temps réel basées sur l’apprentissage machine fournissent l’automatisation nécessaire pour découvrir de nombreuses menaces.
Associée à une sauvegarde supervisée par l’homme, cette puissante combinaison permet de repérer les malwares qui se font passer pour des objets légitimes ou cachés.
Cette approche intelligente et de défense en profondeur est de plus en plus nécessaire à mesure que les cybercriminels améliorent leurs tactiques.
Alors que 2020 se transforme en 2021, les hackers derrière TrickBot et d’autres malwares auront sans doute des plans pour lancer encore plus d’attaques. Mais votre entreprise peut renverser la situation pour les pirates en utilisant votre propre boîte à astuces sous la forme d’outils intelligents d’automatisation de la cybersécurité.
WebTitan Cloud est une solution de filtrage web basée sur le DNS qui offre une protection complète contre les menaces en ligne telles que les malwares, les ransomwares et les attaques de phishing.
Si vous recherchez une meilleure sécurité web pour votre organisation, contactez l’équipe de TitanHQ dès aujourd’hui pour plus d’informations et pour une démonstration de notre produit.