TrickBot de retour, et plus dangereux que jamais

TrickBot est de retour en action. Cette fois, avec plus de puissance et des tactiques améliorées pour perturber les systèmes de leurs victimes.

Un bref récapitulatif

Plus tôt ce mois-ci, Microsoft, en collaboration avec ESET, les Black Lotus Labs de Lumen, NTT Ltd., et d’autres, a perturbé l’infrastructure backend du cheval de Troie TrickBot dans le cadre d’une opération orchestrée. L'opération de 10 jours impliquait de bourrer des millions de faux enregistrements sur les nouvelles victimes dans la base de données TrickBot dans le but de confondre les opérateurs du botnet. Elle a été menée quelques jours à peine après que la division du Cyber Command de l’armée américaine a mené sa propre attaque pour prendre le contrôle des assaillants. Cependant, Microsoft a analysé 61 000 échantillons de logiciels malveillants TrickBot et identifié les adresses IP des serveurs de commande et de contrôle afin de perturber le cheval de Troie.

Néanmoins, le gang TrickBot a réussi à rebondir après des efforts de retrait. En effet, à la mi-octobre, les chercheurs d'Intel 471 ont vu une mise à jour du fichier de configuration du serveur de plug-in TrickBot. La mise à jour a été observée dans une campagne Emotet qui exploitait des modèles de spam pour une distribution de masse. Mais, les chercheurs ont affirmé que cela avait été de courte durée car le cheval de Troie ne pouvait pas établir de connexion avec de nouveaux serveurs de contrôle. Pendant ce temps, il y en avait quelques-uns basés au Brésil, en Colombie, en Indonésie et au Kirghizistan qui ont répondu aux demandes de robots TrickBot.

TrickBot ajoute une nouvelle variante

À la suite de l'effort de retrait, les auteurs de TrickBot a déplacé une partie du code vers Linux pour créer une nouvelle variante du cheval de Troie baptisée «Anchor_DNS». La tentative a été faite d'élargir la portée des cibles selon NetScout. Dans le cadre du nouvel ensemble d'outils Anchor, les développeurs de TrickBot ont créé Anchor_DNS, un outil pour envoyer et recevoir des données des machines victimes à l'aide du tunnel DNS.

Plus de prudence désormais

Le TrickBot délicat est de retour. Le redémarrage dans un court laps de temps, après une chute importante, indique que le malware voleur d'informations pourrait redevenir un casse-tête potentiel pour les entreprises dans les prochains jours. Bien qu'il ne soit pas encore entré en mode d'action complète, les opérateurs ont déjà créé une tempête avec le frère de TrickBot, BazarLoader.


Source : cyware.com