Le malware TrickBot ajoute une porte dérobée à son arsenal

Les cybercriminels qui ont développé TrickBot ont ajouté une nouvelle porte dérobée nommée “PowerTrick” pour pouvoir infiltré leurs cibles.

Selon les chercheurs de SentinelLabs, PowerTrick est conçu pour exécuter des commandes et retourner des résultats sous le format Base64. Il est déployé en tant que module après que l’infection initiale de TrickBot ait pris le contrôle du PC de la victime.

“L’objectif de la porte dérobée PowerTrick et son approche est de contourner les restrictions et les contrôles de sécurité pour s’adapter et exploiter les réseaux sécurisés,” selon l’analyse.

Les chercheurs de la firme de sécurité informatique ont observé le déploiement d’un script de petite porte dérobée, parfois sous la forme de tâche PowerShell, qui établit un contact avec le serveur command-and-control (C2). Après cela, les opérateurs du malware envoie la première commande qui est de télécharger la principale porte dérobée PowerTrick.

Une fois installée, la porte dérobée PowerTrick exécute ses fonctions de porte dérobée. Elle exécute une vérification du réseau et ensuite envoie des requêtes en boucle en attendant les prochaines commandes qu’elle recevra. Elle les exécute et renvoie des résultats ou des erreurs. Elle peut aussi se mettre en mode sommeil pendant un certain temps si on lui demande.

trickbot

Les opérateurs de TrickBot utilisent leur accès pour effectuer d’autres tâches, principalement en tirant parti des utilités PowerShell. Par exemple, les chercheurs de SentinelLabs ont remarqué que PowerTrick téléchargeait “letmein”, un script PowerShell qui permet de se connecter à la framework Metasploit, pour effectuer une reconnaissance et identifier les autres machines pour répandre l’infection de TrickBot.

metasploit trickbot

“Une fois que le système et le réseau ont été identifié, les hackers décident si ils nettoient les traces de leur passage et passent à une autre cible, ou si ils effectuent un mouvement latéral à l’intérieur de l’environnement vers des systèmes important comme des portails financiers,” ont expliqué les chercheurs

En plus de Metasploit, la porte dérobée fait aussi appel à d’autres morceaux de code qui fonctionnent aussi comme des portes dérobées. Cela inclut la variante DNS Anchor Project de TrickBot et le malware More_eggs JScript (aussi connu sous le nom de Terra Loader ou SpicyOmelette) qui sont vendus sur le Dark Web. Les cybercriminels semblent aussi utilisés l’exécution direct de shellcode via PowerTrick pour déployer des payloads.

Utilisé une porte dérobée en tant que portail vers plus de portes dérobées aide à ne pas se faire détecter, selon les chercheurs de SentinelLabs.

“C’est quelque chose que nous avons observé fréquemment, les hackers modifient ou créent de nouveaux systèmes de déploiement pour contourner les restrictions et les contrôles de sécurité,” ont dit les chercheurs.

TrickBot continue d’évoluer

TrickBot a été développé en 2016 en tant que malware bancaire pour remplacer le trojan bancaire Dyre. Cependant, TrickBot est devenu un malware couteau-suisse utilisé spécialement pour cibler les entreprises. L’ajout de PowerTrick à son arsenal est normal et colle parfaitement au développement continu et rapide du malware.

Récemment nous vous informions que TrickBot s’attaquait aussi aux clés SSH et VPN. Ce logiciel malveillant continue d’évoluer et d’incorporer de nouvelles fonctions.

Poster un Commentaire

avatar
  S’abonner  
Notifier de