Le Malware TrickBot améliore encore ses capacités de défense

Le Malware TrickBot améliore encore ses capacités de défense

Le Malware TrickBot qui possède désormais près d’une centaine de variantes identifiées a bénéficié d’une nouvelle mise à jour. Dans cette dernière version, les développeurs derrière ce logiciel malveillant ont ajouté une nouvelle couche de défense pour lui permettre d’échapper à tout antivirus.

Un Malware résistant

TrickBot a commencé ses campagnes d’attaque en tant que banking trojan (cheval de troie bancaire) en 2016 avant de devenir un CaaS (Containers as a Service) suite à une mise à jour. Il s’agit d’un service Cloud permettant aux développeurs de déployer et gérer des containers.

Les acteurs malveillants utilisent le CaaS pour distribuer des charges utiles. D’autres versions de TrickBot ont la capacité de modifier le firmware UEFI d’un appareil compromis. Certaines campagnes de Malware les plus agressives, comme celle menée avec Emotet, s’appuient sur TrickBot.

Les américains ont mené de vastes opérations pour démanteler le gang derrière ce logiciel malveillant. Mais les développeurs réajustent systématiquement ses techniques de propagation et d’esquive. D’ailleurs, la société de sécurité informatique IBM Trusteer a découvert une énième version du Malware.

De nouvelles capacité sur la dernière version

Avec cette nouvelle mise à jour, TrickBot permet de mener efficacement des attaques par injection d’applications Web pour voler les identifiants bancaires. Dans le cadre de ces attaques, les hackers utilisent la technique du Man In The Browser ou attaque de l’homme dans le navigateur (MitB).

Grâce à cette technique, les attaquants modifient et ajoutent différents champs de saisie à la page Web visitée. L’URL restant le même, la cible remplit les champs sans méfiance. Les pirates récupèrent alors facilement les informations demandées.

Cette version de TrickBot possède par ailleurs de nouvelles capacités de défenses. Celle-ci est notamment capable d’utiliser les communications HTTPS cryptées avec le serveur de commande et de contrôle (C2) pour récupérer les injections. Grâce à quoi, le botnet masque l’injection Web et arrête de débogueur.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest