Trickbot Malware se propage à travers une fausse campagne de vote «Black Lives Matter»
En débutant comme cheval de Troie bancaire, TrickBot n'a cessé d'évoluer pour effectuer une variété de comportements malveillants. Il est connu pour tirer parti de l'actualité pour attirer ses victimes, et plus récemment, il a été observé en tirant parti du thème «Black Live Matter» pour cibler ses victimes.
Capitalisation sur le mouvement Black Lives Matter
Une nouvelle campagne de phishing Trickbot a été découverte en pleine protestations généralisées aux États-Unis.
- En juin 2020, la campagne a attiré les Américains en prétendant appartenir à "l'administration du pays" et a demandé aux destinataires de "voter anonymement sur 'Black Lives Matter'".
- L'e-mail invite les destinataires à remplir et à renvoyer un document joint. Il les incite à activer les macros qui téléchargent et exécutent une DLL malveillante pour le cheval de Troie TrickBot.
- Le cheval de Troie télécharge d'autres modules pour voler des fichiers, des mots de passe, répartis latéralement sur le réseau et permet également à d'autres acteurs de la menace d'installer des logiciels malveillants supplémentaires.
Attaques passées de Trickbot
- En juin 2020, Panda Security a découvert une nouvelle campagne de phishing dans laquelle le cheval de Troie TrickBot a déployé un nouveau module appelé «BazarBackdoor» pour compromettre et obtenir un accès complet aux réseaux d'entreprise.
- En mai 2020, Palo Alto Networks a observé que TrickBot avait mis à jour l'un de ses modules de propagation appelé «mworm» vers un nouveau module de propagation de logiciels malveillants furtifs appelé «nworm» qui permet d'éviter la détection.
- En avril 2020, Microsoft a déclaré que sur la base des données Office 365 ATP, Trickbot est l'opération de malware la plus prolifique utilisant des leurres sur le thème COVID-19.
- En avril 2020, IBM X-Force a dévoilé une nouvelle campagne Trickbot qui ciblait les destinataires de courriers électroniques avec de faux messages censés provenir du Département américain du Travail (DoL), tirant parti de la Family and Medical Leave Act (FMLA).
Comment se protéger ?
La plupart des cyberattaques commencent par un e-mail de phishing et la plupart de ces e-mails ciblés utilisent des pièces jointes malveillantes pour fournir des charges utiles malveillantes. Les utilisateurs doivent utiliser des filtres anti-spam, une authentification multifacteur, des sauvegardes de données et activer les mises à jour logicielles automatiques pour faire face à toute nouvelle menace de sécurité.