TrickBot Banking Trojan-Trojan ciblant les machines Windows

Publié: 2019-01-17

Partout dans le monde, des personnes sont constamment menacées par divers logiciels malveillants conçus pour réaliser des profits illicites ou pour voler des données personnelles. Mais il y a spécifiquement un type qui est le plus détesté; ce sont des chevaux de Troie bancaires. Maintes et maintes fois, ils font des apparitions sous différentes formes et exploitent les utilisateurs. Mais le pire qui a récemment attiré l'attention est le cheval de Troie bancaire TrickBot qui cible les machines Windows. Il a été découvert que ce cheval de Troie spécifique a touché avec succès l'Australie, l'Asie et l'Amérique latine. Maintenant, il traverse également l'Argentine, le Pérou et le Chili, prévoyant d'infecter des millions de machines. Vous pouvez déterminer l'intensité de leur notoriété et de leurs dommages à partir du fait qu'ils ont pu envoyer plus de 75 000 e-mails en 25 minutes provenant de Lloyds Bank, Royaume-Uni, en 2017.

Cheval de Troie TrickBot
Source : - journal de sécurité

Qu'est-ce que Trickbot ?

Il s'agit de l'un des chevaux de Troie bancaires les plus actifs du marché, doté d'une pléthore de fonctionnalités, notamment les redirections d'URL et les injections Web. Cela a été identifié et repéré pour la première fois en octobre 2016 en Australie. On estime que Trickbot est exploité et géré par un groupe d'individus ayant une portée mondiale. De plus, ils sont intelligents, car ils ont attaqué par différentes techniques, c'est-à-dire la redirection 40% des fois et laissé 60% aux injections Web. C'est un modèle qui a été vu dans 40 pays maintenant.

Ce malware est livré aux utilisateurs via des e-mails de phishing, mais ils ont également commencé à explorer d'autres pratiques de distribution telles que les faux sites Web. Dans de tels cas, ils fonctionnent principalement via des injections Web.

Trickbot
Source : – Trend Micro

Injections Web

Le navigateur Web est infecté par le logiciel malveillant, qui contrôle chaque site Web que vous visitez. Tout reste inchangé jusqu'à ce que vous visitiez un site Web bancaire. L'objectif principal des attaquants est d'hameçonner les utilisateurs via des sites Web bancaires, où dès que l'utilisateur visite l'un des sites Web bancaires, un code est intercepté via le réseau pour voler les informations personnelles et les informations d'identification saisies.

Ce qui est plus dérangeant dans les injections Web, c'est que vous ne pouvez rien dire simplement en regardant les sites Web, car ce n'est pas le site Web qui est infecté, mais le navigateur Web. Dans ce scénario, comment pouvons-nous identifier les activités anormales ? Eh bien, personne ne peut le faire à moins d'accéder au code source de la page bancaire.

Si votre navigateur n'est pas infecté, les codes seront relativement plus petits, alors que si c'est le cas, vous y verrez de nouvelles fonctions étranges. Parfois, les fonctions supplémentaires ou l'ensemble de codes ont des commentaires qui nous informent de leur fonctionnalité, c'est-à-dire voler les informations d'identification et informer les pirates à ce sujet.

Redirection d'URL

Cheval de Troie bancaire TrickBot

Bien qu'il existe des cas dans lesquels la redirection d'URL a été utilisée, cette pratique se raréfie. La raison derrière est le fait que toute redirection est identifiable. Encore une fois, les pirates ne peuvent créer que des URL similaires et non exactes pour rediriger une personne lors de la navigation en raison des règles d'enregistrement des noms de domaine. Et cela peut être repéré si quelqu'un fait attention aux URL.

Que fait Trickbot ?

Le logiciel malveillant aurait de nombreuses fonctionnalités malveillantes, notamment : -

  • Initier la communication entre les appareils infectés et le serveur de commande.
  • Voler des informations confidentielles telles que des identifiants bancaires, des informations personnelles, etc. en exploitant des sessions de navigation sur le Web.
  • Collectez des informations détaillées sur les machines et les réseaux concernés.
  • Compromis les mots de passe des comptes enregistrés en ligne, les cookies d'introspection et l'historique Web.
  • Étendez sa portée en infectant d'autres machines sur le réseau infecté.
  • Configurez d'autres outils à des fins malveillantes tels que les clients VNC, l'outil d'accès à distance ou les rançongiciels.

Comment fonctionne le cheval de Troie Trickbot ?

Cheval de Troie TrickBot
Source : – socprime

Lisez aussi : Emotet Trojan - Un cheval de Troie bancaire qui a dangereusement évolué

Une fois déployé, le cheval de Troie bancaire TrickBot se duplique dans %APPDATA% et supprime l'échantillon d'origine.

De plus, il ajoute deux fichiers appelés client_id et group_tag. Ils sont créés localement et utilisés pour détecter le bot individuel et l'opération à laquelle il est associé. Ces fichiers ne sont pas cryptés et contiennent du texte en Unicode.

client_id : comprend le nom de la machine infectée, la version du système d'exploitation et une chaîne générée de manière aléatoire.

Le dossier contient un fichier appelé config.conf. Il est téléchargé via le serveur Command & Control (C&C) et encodé.

Remarque : C&C ou C2 est utilisé par les cyber-attaquants pour gérer les communications avec les machines infectées au sein d'un réseau infecté.

Un dossier appelé Modules est généré dans %APPDATA%. Les autres fichiers téléchargés via C&C sont injectDll32 et systeminfo32.

injectDll32 - Il s'agit d'un module bancaire qui injecte des DLL dans les navigateurs cibles pour initier le vol d'informations d'identification

systeminfo32 - Il est utilisé pour collecter des informations générales sur le système

Ces fichiers sont également encodés. De plus, la liste des navigateurs cibles est codée en dur dans injectDll32.dll. TrickBot le rend efficace en s'accumulant en tant que tâche dans le planificateur de tâches Windows. La tâche est simplement appelée 'Bot' et aucune tentative n'est faite pour masquer cette tâche. Cependant, si vous tentez d'arrêter la tâche, le moteur du planificateur de tâches la redémarre automatiquement.

Communication réseau

Le malware TrickBot communique avec différents serveurs. Au début, il communique avec un serveur valide pour obtenir une adresse IP visible. Étonnamment, il utilise son propre agent utilisateur, c'est-à-dire TrickLoader ou BotLoader, et n'essaie pas de se faire passer pour un navigateur authentique. Mais la plupart des communications du TrickBot avec le centre de commande et de contrôle sont cryptées SSL.

client_id et group_id sont utilisés dans l'URL de la requête POST suivie de l'ID de commande. C'était un trait observé dans le malware Dyreza. En outre, une charge utile supplémentaire est chargée sans crypter le trafic réseau. Les C&C sont installés sur des routeurs sans fil compromis, c'est-à-dire MikroTik. C'est une autre caractéristique commune à Dyreza et TrickBot. Une autre chose étrange à propos de TrickBot est qu'il n'essaie même pas de copier des noms authentiques pour les certificats HTTP. Ils incluent des données entièrement aléatoires. Par exemple: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

Symptômes indiquant que votre système est affecté

Les utilisateurs du point de terminaison ne verront aucun changement, contrairement à l'administrateur réseau. Le symptôme changera dans le trafic ou les efforts pour atteindre les URL restreintes et les IP sur liste noire. Cela se produit parce que le malware essaie de transmettre les données aux pirates. Il essaie de retirer des données et de recevoir des tâches du serveur de contrôle et de commande (C&C).

Conséquences

Comme ce cheval de Troie utilise la vulnérabilité EternalBlue, il se concentrera sur l'impact sur l'ensemble du réseau et pas seulement sur une machine. Cela implique qu'une fois que votre réseau est affecté, il n'y a pas d'issue. Vous pouvez nettoyer une machine particulière mais pas l'ensemble du réseau. Dans une certaine mesure, isoler les machines infectées et travailler pour supprimer ce cheval de Troie pourrait être efficace.

Voici quelques étapes que vous pouvez suivre si les machines du réseau sont affectées : –

  1. Détecter les machines infectées.
  2. Isolez-les du réseau.
  3. Utilisez le patch pour EternalBlue.
  4. Restreindre les partages administratifs.
  5. Bloquer les pièces jointes avec diverses extensions de fichiers telles que :

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. Supprimez le cheval de Troie bancaire TrickBot.
  2. Modifier les informations d'identification du compte.

Doit lire : IcedID, nouveau cheval de Troie bancaire

Le verdict final

Celui-ci est hautement dangereux non seulement à cause de son agressivité mais aussi à cause de son évolution constante. Les opérateurs de ce cheval de Troie bancaire ont également commencé à cibler les utilisateurs sur les e-mails Outlook, les données de navigation et même les crypto-monnaies. Nous devons trouver rapidement un mécanisme de défense si nous ne voulons pas voir nos portefeuilles et nos comptes se vider !