Le cheval de Troie TrickBot est un cheval de Troie bancaire complexe qui a été identifié pour la première fois en 2016.

Alors que le malware n’était au départ qu’un simple voleur d’informations dédié au vol des identifiants bancaires en ligne, il a massivement évolué au cours des quatre dernières années, et plusieurs modules ont été ajoutés, fournissant une foule d’autres fonctionnalités malveillantes.

Les capacités de vol d’informations de TrickBot ont été considérablement améliorées.

En plus des références bancaires, il peut désormais voler des données de systèmes et de réseaux, des identifiants des comptes de messagerie électronique, des données fiscales et de la propriété intellectuelle. TrickBot est capable de se déplacer latéralement et d’infecter silencieusement d’autres ordinateurs sur le réseau en utilisant d’authentiques utilitaires Windows et le kit d’exploitation EternalRomance pour la vulnérabilité SMBv1.

Le malware peut également créer une porte dérobée pour un accès persistant et faire office d’installateur de malwares. En outre, il peut télécharger d’autres charges utiles malveillantes, comme le ransomware Ryuk.

Le cheval de Troie est souvent mis à jour et de nouvelles variantes apparaissent régulièrement. Son infrastructure de commandement et de contrôle est également en constante évolution. Selon une étude de Bitdefender, plus de 100 nouvelles adresses IP sont ajoutées à son infrastructure C&C chaque mois, chacun ayant une durée de vie d’environ 16 jours.

Le malware et son infrastructure sont très complexes et, bien que des mesures aient été prises pour démanteler l’opération, les pirates informatiques parviennent à garder une longueur d’avance.

TrickBot est principalement partagé par le biais de spams via le réseau de botnets Emotet. L’infection par Emotet entraîne le téléchargement de TrickBot, et l’infection par TrickBot entraîne l’ajout d’un ordinateur au réseau de botnets Emotet.

Une fois que toutes les données utiles ont été obtenues d’un système infecté, le bâton est passé aux opérateurs du ransomware Ryuk, leur donnant ainsi l’accès au mot de passe du réseau de la victime.

Un examen récent d’une variante capturée par Bitdefender le 30 janvier 2020 a montré qu’une autre méthode de distribution a été ajoutée à son arsenal. Le cheval de Troie dispose maintenant d’un module pour les attaques par la force brute sur les connexions RDP (Remote Desktop Connexion).

Ces attaques sont principalement menées contre des organisations intervenant dans les secteurs financiers, de l’éducation et des télécommunications. Elles visent actuellement les organisations aux États-Unis et à Hong Kong, bien qu’il soit probable que les attaques se répandent région par région au cours des prochaines semaines. Elles sont menées pour voler la propriété intellectuelle et les données financières.

Comme le cheval de Troie TrickBot est modulaire, il peut toujours être mis à jour avec de nouvelles fonctionnalités. L’évolution constante du malware et son succès signifient qu’il continuera à être une menace pendant un certain temps. Heureusement, il est possible de prévenir les infections en pratiquant une bonne cyberhygiène.

Le spam reste le principal mode de diffusion du cheval de Troie Emotet et de TrickBot, c’est pourquoi un filtre antispam avancé est indispensable. Comme de nouvelles variantes apparaissent constamment, les méthodes de détection basées sur les signatures ne suffisent pas à elles seules.

SpamTitan intègre un sandbox alimenté par Bitdefender pour analyser les pièces jointes suspectes des e-mails afin de détecter les activités malveillantes. Cela permet d’identifier l’activité malveillante de toute nouvelle variante de malware et de mettre les e-mails malveillants en quarantaine avant qu’ils ne puissent causer des dommages.

Si vous n’avez pas besoin du RDP, assurez-vous qu’il est désactivé. Dans le cas contraire, assurez-vous que l’accès est restreint et que des mots de passe forts sont établis.

Utilisez le système de blocage en raison d’actions à fréquence trop élevée (rate restricting) pour bloquer les tentatives de connexion après un nombre déterminé d’échecs. Enfin, assurez-vous qu’une authentification multifactorielle est mise en œuvre pour empêcher l’utilisation des identifiants de connexion volés.

Pour plus de détails sur SpamTitan Email Security et pour savoir comment vous pouvez améliorer vos défenses contre les attaques lancées via la messagerie électronique et via le web, contactez l’équipe du TitanHQ dès maintenant.