La nouvelle variante du logiciel malveillant TrickBot cible les clients de 60 entreprises financières, de crypto-monnaie et de technologie
Check Point Research (CPR) a averti que le logiciel malveillant TrickBot ciblait les clients de 60 sociétés financières et technologiques, la plupart situées aux États-Unis.
Les chercheurs ont découvert que TrickBot attaquait des victimes de haut niveau pour voler des informations d’identification de compte et des données sensibles pour un impact maximal. Ils ont découvert que le logiciel malveillant met en œuvre diverses techniques d’anti-analyse pour protéger sa logique des chercheurs en sécurité.
Composé de 20 modules téléchargeables et exécutables indépendamment, le malware « très sélectif » TrickBot peut être exécuté à la demande. Ayant évolué à partir d’un cheval de Troie bancaire, TrickBot est devenu un malware de premier plan et un système de diffusion sophistiqué capable de déployer des ransomwares.
TrickBot a reconstruit avec succès son infrastructure après le démantèlement des forces de l’ordre d’octobre 2020 et est devenu le système de livraison préféré pour le botnet Emotet pendant son effort de reconstruction. À en juger par les données de télémétrie reçues par CPR, TrickBot a infecté au moins 140 000 appareils en 16 mois.
Fonctionnalités d’anti-analyse et d’obscurcissement des logiciels malveillants TrickBot
L’équipe CPR a analysé des échantillons de code malveillant TrickBot et a découvert que les opérateurs de TrickBot avaient mis à jour le botnet avec de nouvelles fonctionnalités anti-analyse et des techniques anti-désobfuscation.
« Nous voyons non seulement des variantes créées sur la base de logiciels malveillants plus récents, mais nous voyons même des acteurs de la menace utiliser des logiciels malveillants qui ont même vingt ans pour générer de nouvelles variantes », a déclaré Saryu Nayyar, PDG et fondateur de Gurucul. « Comme le montre Trickbot, même lorsqu’un groupe d’acteurs menaçants est démantelé, son héritage perdure, car d’autres groupes peuvent hériter de leurs outils, tactiques et procédures avec leurs propres modifications et améliorations pour échapper aux techniques de détection actuelles. »
Les chercheurs du CPR se sont concentrés sur trois modules de logiciels malveillants TrickBot, injectDll, tabDll et pwgrabc, utilisés dans l’injection Web, la propagation du réseau et la collecte d’informations d’identification.
« Les logiciels malveillants modulaires ne sont pas nouveaux », a déclaré Tessa Mishoe, analyste principale des menaces chez LogicHub. « Au début d’Internet, nous avions l’habitude de voir des chevaux de Troie d’accès à distance qui appelaient chez eux et contenaient toute une suite de fonctionnalités qui seraient ensuite exploitées pour une variété d’attaques. Ce qui rend Trickbot si intéressant, c’est l’effort – alors que de nombreuses formes de logiciels malveillants s’attaquent au plus petit dénominateur commun des cibles, Trickbot se dirige directement vers des cibles de grande valeur.
Selon les chercheurs, le module injectDll est responsable de l’injection de données de navigateur ciblant les clients de 60 entreprises de premier plan dans les secteurs financier et technologique. InjectDll propose également des techniques anti-analyse, est minimisé déguisé en « jquery-3.5.1.min.js », obscurci et contient des fonctionnalités anti-désobfuscation.
Le module crée une URL à partir d’expressions régulières, le résultat correspondant au code masqué. Cependant, le module bloque les adresses IP des chercheurs s’ils tentent d’accéder à un point de terminaison inexistant sur le serveur de commande et de contrôle (C2).
De plus, le module applique des techniques anti-désobfuscation qui empêchent le code de fonctionner une fois qu’il devient lisible par l’homme.
De même, le module injectDLL empêche un chercheur d’envoyer des requêtes automatisées aux serveurs de commande et de contrôle en vérifiant l’en-tête « Referer », refusant d’envoyer une charge utile web-inject valide si l’en-tête est invalide ou manquant.
« Les injections Web causent beaucoup de tort aux victimes, car ces modules volent des données bancaires et d’identification et peuvent causer d’importants dommages financiers via des virements électroniques. Ajoutez la sélection de victimes par TrickBot, et la menace devient encore plus dangereuse », ont-ils écrit.
Le deuxième module de malware TrickBot, tabDLL, vole les informations d’identification des utilisateurs et propage le malware sur le réseau en plusieurs étapes.
Premièrement, le module tabDLL permet de stocker les informations d’identification de l’utilisateur dans l’application LSASS. Il injecte ensuite le module ‘Locker’ dans l’application « explorer.exe », force les utilisateurs à entrer leurs identifiants dans l’application, et verrouille la session. Il utilise la technique mimikatz pour récupérer les informations d’identification de l’application LSASS. Le module tabDLL exploite enfin l’exploit EternalRomance pour se propager via le partage réseau eSMBv1.
« Trickbot attaque des victimes de haut niveau pour voler les informations d’identification et fournir à ses opérateurs un accès aux portails avec des données sensibles où ils peuvent causer des dommages plus importants », ont affirmé les chercheurs.
Enfin, le module pwgrabc est un voleur d’informations d’identification ciblant différentes applications telles que Chrome, Chrome Beta, Firefox, Edge, Edge Beta, Internet Explorer, Filezilla, Outlook, VNC, Teamviewer, AnyConnect, OpenVPN, OpenSSH, Putty, Git, Precious, RDP , RDCMan, KeePass et WinSCP.
Les chercheurs de Checkpoint ont publié les indicateurs de compromission (IoC) d’un malware TrickBot, la liste des entreprises et des applications ciblées, ainsi que l’analyse du code de la nouvelle variante du malware TrickBot.
Des victimes très médiatisées érodent la confiance des clients
Les victimes actuelles comprennent des institutions financières traditionnelles comme JPMorgan Chase, des entreprises de crypto-monnaie comme Blockchain.com et des entreprises technologiques comme Microsoft et Google. D’autres incluent American Express, Citi, Chase, Capital One, PayPal, Amazon et autres.
«Avec une marque reconnue vient un niveau de confiance, même si nous n’en sommes pas consciemment conscients; et ces mauvais acteurs n’ont aucun problème à exploiter cela », a déclaré Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4. « Bien que ces marques travaillent dur pour protéger leur réputation, elles ne peuvent pas faire grand-chose pour empêcher complètement un mauvais acteur d’utiliser leur nom, et la confiance ou la familiarité associée, pour lancer ces attaques. »
Cependant, Felix Rosbach, chef de produit chez comforte AG, affirme que les attaques de logiciels malveillants TrickBot pourraient être perçues comme un échec des entreprises à protéger leurs clients.
« Du point de vue du client – même si ces marques ne sont pas en mesure de protéger leurs clients contre cela – cela pourrait être perçu comme la faute d’une organisation », a poursuivi Rosbach. « Cela soulève l’importance des programmes de sensibilisation à la cybersécurité pour les utilisateurs finaux et les clients, qui vont généralement au-delà du budget typique de sensibilisation des employés, mais peuvent être très bénéfiques. De plus en plus de clients se soucient de la façon dont une organisation gère la cybersécurité et s’ils font de leur mieux pour protéger leurs informations personnelles et leurs actifs.
Les chercheurs ont décrit les développeurs de logiciels malveillants TrickBot comme capables de développer des systèmes logiciels de bas niveau et très attentifs aux petits détails.
« Dans le même temps, nous savons que les opérateurs derrière l’infrastructure sont également très expérimentés dans le développement de logiciels malveillants à un niveau élevé », a déclaré Alexander Chailytko, responsable de la cybersécurité, de la recherche et de l’innovation chez Check Point Software Technologies. « La combinaison de ces deux facteurs est ce qui permet à TrickBot de rester une menace dangereuse depuis plus de 5 ans déjà. J’exhorte vivement les gens à n’ouvrir que des documents provenant de sources fiables et à utiliser des mots de passe différents sur différents sites Web.