Le malware Trickbot a été mis à jour avec une nouvelle méthode de propagation qui le rend encore plus difficile à détecter.
Commençant sa vie comme un cheval de Troie bancaire, Trickbot est apparu pour la première fois en 2016, mais au cours des années qui ont suivi, il a été réutilisé à plusieurs reprises pour d'autres moyens, notamment pour être utilisé comme un voleur d'informations à part entière, ainsi que pour fournir un accès détourné aux machines infectées, permettant aux groupes de cybercriminalité de l'utiliser comme passerelle pour livrer d'autres logiciels malveillants sur des réseaux déjà compromis.
Trickbot peut également fonctionner comme un botnet pour aider à se propager à d'autres victimes, en utilisant couramment des campagnes de spam par courrier électronique de phishing pour distribuer des pièces jointes malveillantes qui l'exécutent sur une machine Windows si elle est ouverte.
Une fois exécuté sur une machine, Trickbot peut également exploiter la vulnérabilité EternalBlue pour se déplacer latéralement sur un réseau.
Les chercheurs de Palo Alto Networks ont présenté en détail la dernière mise à jour de Trickbot, qui fonctionne depuis avril et qui offre une meilleure méthode pour échapper à la détection.
Malware modulaire
Trickbot est modulaire, ce qui permet à ses auteurs d'ajouter ou de supprimer facilement des fonctionnalités et c'est ce qui a permis d'apporter facilement les dernières modifications. Un module appelé Mworm est chargé de contribuer à la diffusion de Trickbot depuis septembre de l'année dernière, mais il a été remplacé par un nouveau module - Nworm.
Les chercheurs l'ont remarqué lorsqu'il est apparu sur un client Windows 7 infecté et notent qu'il altère grandement le trafic HTTP de Trickbot.
Désormais, lorsque Trickbot infecte un contrôleur de domaine, le malware est exécuté à partir de la mémoire, ce qui garantit qu'aucun artefact n'est laissé sur une machine infectée, ce qui rend la détection plus difficile.
En outre, le binaire utilisé par Nworm est crypté lors de son transfert sur Internet, ce qui permet également de dissimuler les actions du malware.
"C'est le dernier d'une série de changements apportés à TrickBot, qui évolue dans le cadre de notre paysage de menaces actuel", a déclaré Brad Duncan, analyste du renseignement sur les menaces à la division de recherche de l'unité 42 de Palo Alto Networks.
En mars, les auteurs de Trickbot ont ajouté des capacités qui semblent être conçues pour aider à mener le cyber-espionnage contre des cibles spécifiques - y compris les fournisseurs de télécommunications, les universités et les services financiers.
EternalBlue, un élément clé de sa propagation
Mais malgré la nature puissante de Trickbot, les organisations peuvent faire beaucoup pour s'en protéger. "Les meilleures pratiques en matière de sécurité, comme l'utilisation de versions entièrement corrigées et mises à jour de Microsoft Windows, permettront d'éviter les infections par Trickbot", a déclaré M. Duncan.
EternalBlue, la vulnérabilité de Windows qui a alimenté WannaCry ransomware, est un élément clé de la propagation de Trickbot, mais malgré la publication d'un correctif il y a plus de trois ans, les cybercriminels continuent de l'exploiter car certaines organisations ne l'ont toujours pas appliqué à leurs réseaux.
En appliquant les mises à jour de sécurité au fur et à mesure de leur arrivée, les organisations peuvent éviter d'être victimes de Trickbot et d'autres campagnes de piratage malveillant qui exploitent des vulnérabilités connues, parfois vieilles de plusieurs années.
Source : Cette information et actualité qui a suscité notre intérêt, a été publiée par Danny Palmer sur le site zdnet.fr que nous remercions. il nous a semblé pertinent de vous en faire profiter.
