Un nouveau module tente de compromettre les comptes de bureau à distance afin d’accéder aux ressources des entreprises. En réalité, le malware TrickBot a ajouté une nouvelle fonctionnalité, un module appelé rdpScanDll, conçu pour forcer les comptes RDP (REMOTE DESKTOP PROTOCOL).
Selon BitDefender, ce module a déjà été utilisé dans plusieurs campagnes qui ciblent plusieurs secteurs comme la télécommunication, la finance, l’éducation, notamment à Hong Kong et aux États-Unis.
Le protocole RDP de Microsoft permet l’accès à distance à un autre serveur ou ordinateur. Il est souvent utilisé par les équipes techniques pour le service de dépannage ou par les travailleurs distants.
Qui est TrickBot ?
TrickBot, également connu sous le nom de TrickLoader, est un cheval de Troie bancaire complexe qui a été identifié pour la première fois en 2016. Il s’agit d’une plate-forme de distribution de longue date pour des développeurs de ransomware comme Ryuk. TrickBot reste une menace importante malgré le démantèlement de ses serveurs.
Selon Microsoft, ce cheval de Troie a infecté plus d’un million d’appareils informatiques dans le monde depuis fin 2016. Bien que l’identité exacte des escrocs derrière ce malware soit inconnue, les recherches suggèrent qu’il pourrait s’agir d’États-nations et de réseaux criminels ayant des objectifs variés.
Le malware a évolué pour envoyer des spams aux listes d’emails des victimes ; pour adopter de nouvelles méthodes d’évasion de détection et pour servir de moyen de distribution d’autres malwares tel qu’Emotet. Plus récemment, les pirates informatiques à l’origine du malware ont modifié leurs méthodes de lutte contre la détection.
TrickBot n’était au départ qu’un simple voleur d’informations dédié au vol des identifiants bancaires en ligne et à l’utilisation des sessions de navigation en vue d’effectuer des transferts frauduleux directement à partir des dispositifs des victimes. Il a massivement évolué au cours des quatre dernières années, et plusieurs modules ont été ajoutés, fournissant une foule d’autres fonctionnalités malveillantes.
Il est considéré comme le successeur du cheval de Troie Dyreza, lui-même issu de l’opération GameOver Zeus et du groupe cybercriminel Business Club qui en est à l’origine.
L’essor des chevaux de Troie bancaires au cours de la dernière décennie a donné naissance au modèle de logiciel criminel en tant que service qui alimente l’économie cybercriminelle actuelle. Le malware TrickBot est un excellent exemple de cette évolution.
Ce sont les chercheurs de la société antivirus ESET qui ont suivi ce malware depuis ses débuts. Ils ont vu plus de 28 plug-ins différents conçus pour lui. Rien qu’en 2020, les chercheurs d’ESET ont analysé plus de 125 000 échantillons malveillants. Ils ont également téléchargé et déchiffré plus de 40 000 fichiers de configuration utilisés par les différents modules du malware.
Comment TrickBot est-t-il distribué ?
En général, les campagnes TrickBot commencent par l’envoi d’e-mails malveillants contenant des pièces jointes Microsoft Office qui permettent de télécharger la charge utile principale. Ces messages utilisent des thèmes communs, comme des factures ou des notifications liées à une activité professionnelle particulière.
Traditionnellement, les attaques de TrickBot ciblaient des victimes en Amérique du Nord et en Europe. Les cibles étaient généralement des particuliers et des organisations dans le monde entier dans de multiples secteurs. Ces attaques auraient permis aux pirates d’infecter plus d’un million de dispositifs depuis leur découverte.
Symptômes
L’utilisateur du dispositif ciblé ne remarquera aucun symptôme d’une infection par le malware. Par contre, un administrateur réseau pourrait constater des changements dans le trafic ou des tentatives d’atteindre des IP et des domaines qui figurent sur une liste noire, car TrickBot communiquera avec son infrastructure de commande et de contrôle pour exfiltrer des données et recevoir des tâches. Le malware peut gagner en persistance en créant une tâche programmée.
Même si, en général, TrickBot se propage via des campagnes de spam et se propager latéralement en utilisant l’exploit EternalBlue, il peut aussi utiliser d’autres méthodes. Il peut par exemple utiliser des URL intégrées et des pièces jointes infectées. Le cheval de Troie peut également utiliser Emotet pour mener une infection secondaire.
Conséquences
En raison de la manière dont le malware utilise la vulnérabilité EternalBlue pour se propager sur votre réseau d’entreprise, toute machine infectée sur votre réseau peut réinfecter les machines ayant été précédemment nettoyées lorsqu’elles se connecteront de nouveau au réseau.
Pour éviter la propagation de ce cheval de Troie, les équipes informatiques doivent isoler le réseau et les dispositifs ; appliquer les mises à jour dès qu’elles sont disponibles et réparer chaque dispositif infecté, un par un.
Le problème est que ce processus est long et fastidieux.
Pour éliminer le malware, il faut par exemple suivre les étapes suivantes :
- Identifier la ou les machines infectées ;
- Déconnecter les machines infectées du réseau ;
- Appliquer un correctif pour éviter l’infection par EternalBlue ;
- Désactiver les partages administratifs ;
- Supprimer TrickBot ;
- Modifier les informations d’identification du compte ;
- Etc.
Les capacités de vol d’informations de TrickBot ont été considérablement améliorées
En plus des références bancaires, il peut désormais voler des données de systèmes et de réseaux, des identifiants des comptes de messagerie électronique, des données fiscales et de la propriété intellectuelle. TrickBot est capable de se déplacer latéralement et d’infecter silencieusement d’autres ordinateurs sur le réseau en utilisant d’authentiques utilitaires Windows et le kit d’exploitation EternalRomance pour la vulnérabilité SMBv1.
Le malware peut également créer une porte dérobée pour un accès persistant et faire office d’installateur de malwares. En outre, il peut télécharger d’autres charges utiles malveillantes, comme le ransomware Ryuk.
Le cheval de Troie est souvent mis à jour et de nouvelles variantes apparaissent régulièrement. Son infrastructure de commandement et de contrôle est également en constante évolution. Selon une étude de Bitdefender, plus de 100 nouvelles adresses IP sont ajoutées à son infrastructure C&C chaque mois, chacun ayant une durée de vie d’environ 16 jours.
Le malware et son infrastructure sont très complexes et, bien que des mesures aient été prises pour démanteler l’opération, les pirates informatiques parviennent à garder une longueur d’avance.
TrickBot est principalement partagé par le biais de spams via le réseau de botnets Emotet. L’infection par Emotet entraîne le téléchargement de TrickBot, et l’infection par TrickBot entraîne l’ajout d’un ordinateur au réseau de botnets Emotet.
Une fois que toutes les données utiles ont été obtenues d’un système infecté, le bâton est passé aux opérateurs du ransomware Ryuk, leur donnant ainsi l’accès au mot de passe du réseau de la victime.
Un examen récent d’une variante capturée par Bitdefender le 30 janvier 2020 a montré qu’une autre méthode de distribution a été ajoutée à son arsenal. Le cheval de Troie dispose maintenant d’un module pour les attaques par la force brute sur les connexions RDP (Remote Desktop Connexion).
Ces attaques sont principalement menées contre des organisations intervenant dans les secteurs financiers, de l’éducation et des télécommunications. Elles visent actuellement les organisations aux États-Unis et à Hong Kong, bien qu’il soit probable que les attaques se répandent région par région au cours des prochaines semaines. Elles sont menées pour voler la propriété intellectuelle et les données financières.
TrickBot peut désactiver Windows Defender
Selon Bleeping Computer, TrickBot ne cesse d’évoluer et de cibler les logiciels de sécurité. Il a par exemple jeté son dévolu sur Windows Defender qui est un produit antimalware du système d’exploitation Microsoft Windows.
Outre le fait de cibler les banques internationales, TrickBot peut récolter des emails, des informations d’identification, etc., et voler des portefeuilles de cryptomonnaies.
La version la plus récente du malware ne se contente plus de cibler et d’éluder un réseau particulier, mais aussi de désactiver la protection de Windows Defender.
Selon encore Bleeping Computer, les pirates derrière TrickBot ont ajouté une douzaine de fonctionnalités à son arsenal d’attaque. Les méthodes utilisées incluent les paramètres de registre et de commande PowerShell Set-MpPreference, ce qui permet aux escrocs de définir les préférences de Windows Defender.
Le processus de désactivation de TrickBot
Une fois que TrickBot est exécuté sur un dispositif, il démarre un chargeur qui a pour rôle de préparer le système. Pour ce faire, le malware désactive les services Windows associés aux logiciels de sécurité en vue d’obtenir des privilèges système plus élevés. Ceci étant fait, il charge le composant central grâce à l’injection d’une DLL. Celui-ci va à son tour télécharger les modules qui permettront de voler les informations ciblées.
Avant cette version, le chargeur TrickBot ne pouvait qu’effectuer un ciblage basique de Windows Defender, comme la désactivation du service WinDefend, l’arrêt des processus liés à Windows Defender, la désactivation des notifications de sécurité et la protection en temps réel. Mais les développeurs de TrickBot ont ajouté d’autres étapes qui leur ont permis d’empêcher Windows Defender de protéger les utilisateurs contre ce malware.
TrickBot est un cheval de Troie modulaire
Cela signifie qu’il peut toujours être mis à jour avec de nouvelles fonctionnalités.
Parmi les modules utilisés par TrickBot, on peut citer aDll qui vole la base de données Active Directory (AD) ; cookiesDll qui vole les données des cookies des navigateurs Web ; MailClient qui vole les données des clients de messagerie Web et mailsearcher qui recherche des fichiers d’un type spécifique.
Résumé
TrickBot est :
- Distribué par la fonction Malware-as-a-Service d’Emotet dans le cadre d’une infection secondaire ;
- Indétectable par l’utilisateur et gagne en persistance grâce à la création d’une tâche programmée ;
- Profite des redirections ouvertes et des injections côté serveur dans le but de voler les informations de connexion de la session de l’utilisateur ciblé ;
- Vole les données de l’utilisateur (état de connexion, préférences du site Web, contenus personnalisés, etc.) ;
- Vole les informations d’identification des applications de bureau à distance, les informations d’identification du navigateur Internet et les informations d’identification du courrier électronique ;
- Vole les données informatiques comme les informations sur le système d’exploitation, les comptes d’utilisateurs, les programmes installés, les services installés, etc.
- Désactive Windows Defender et diminue la sécurité des dispositifs infectés.
L’évolution constante du malware et son succès signifient qu’il continuera à être une menace pendant un certain temps. Heureusement, il est possible de prévenir les infections en pratiquant une bonne cyberhygiène.
Le spam reste le principal mode de diffusion du cheval de Troie Emotet et de TrickBot, c’est pourquoi un filtre antispam avancé est indispensable. Comme de nouvelles variantes apparaissent constamment, les méthodes de détection basées sur les signatures ne suffisent pas à elles seules.
SpamTitan intègre un sandbox alimenté par Bitdefender pour analyser les pièces jointes suspectes des e-mails afin de détecter les activités malveillantes. Cela permet d’identifier l’activité malveillante de toute nouvelle variante de malware et de mettre les e-mails malveillants en quarantaine avant qu’ils ne puissent causer des dommages.
Si vous n’avez pas besoin du RDP, assurez-vous qu’il est désactivé. Dans le cas contraire, assurez-vous que l’accès est restreint et que des mots de passe forts sont établis.
Utilisez le système de blocage en raison d’actions à fréquence trop élevée (rate restricting) pour bloquer les tentatives de connexion après un nombre déterminé d’échecs. Enfin, assurez-vous qu’une authentification multifactorielle est mise en œuvre pour empêcher l’utilisation des identifiants de connexion volés.
Pour plus de détails sur SpamTitan Email Security et pour savoir comment vous pouvez améliorer vos défenses contre les attaques lancées via la messagerie électronique et via le web, contactez l’équipe du TitanHQ dès maintenant.