Le malware TrickBot a accidentellement alerté ses victimes

Les opérateurs de TrickBot semblent avoir accidentellement déployé un nouveau module de test qui a affiché des alertes d’infection sur les écrans des victimes.

Un échantillon isolé du cheval de Troie, obtenu par MalwareHunterTeam et analysé par Vitali Kremez d’Advanced Intelligence, se révèle contenir un nouveau module, appelé «module 0.6.8», qui porte le nom de fichier «grabber.dll». Il est capable d’enregistrer l’activité du navigateur et dérober les mots de passe utilisés dans Google Chrome, Internet Explorer, Mozilla Firefox et Microsoft Edge. Il peut aussi récupérer les cookies du navigateur, tout comme les autres modules utilisés par TrickBot.

Cependant, ce dernier a un effet secondaire involontaire. Il avertit immédiatement les victimes qu’elles ont été infectées en ouvrant le navigateur avec un message d’alerte. C’est une mauvaise nouvelle pour les opérateurs de TrickBot, qui utilisent le malware pour configurer des portes dérobées sur des machines cibles – probablement pour maintenir la persistance et dérober le plus d’informations possible.

trickbot

Qu’est ce que TrickBot?

TrickBot est une souche de malware modulaire en évolution rapide qui existe depuis 2016, il a débuté en tant que cheval de Troie bancaire. Au fil du temps, il a progressivement diversifié ses fonctions pour inclure la possibilité de collecter des informations d’identification à partir des e-mails, des navigateurs et des applications réseau installées d’une victime. Le malware a également évolué pour ajouter plus de modules et servir de livreur pour d’autres logiciels malveillants, y compris les rançongiciels comme Ryuk.

TrickBot s’est occupé récemment d’ajouter des fonctionnalités de porte dérobée à son arsenal. En Juin, un nouveau module furtif que les chercheurs appellent «BazarBackdoor» a été ajouté à l’arsenal de TrickBot. En Janvier, les chercheurs ont découvert que les opérateurs du logiciel malveillant utilisaient «PowerTrick», une porte dérobée qui a aidé le logiciel malveillant à effectuer la reconnaissance des institutions financières ciblées et à récupérer d’autres portes dérobées.

Selon l’analyse de Kremez, le module de capture nouvellement découvert utilise plusieurs références de code C ++ internes, telles que «grabchrome.cpp», qui s’alignent avec les modèles et fonctions de code de capture habituels de TrickBot. Il semble que son déclenchement d’alertes de navigateur soit une erreur de codage, a-t-il déclaré.

“Advanced Intelligence évalue avec une grande confiance que ce module était probablement un module de test déployé par erreur, alertant sur l’activité des logiciels malveillants pendant la phase de test”, a écrit Kremez dans un article de blog.

Kremez a noté que ce dernier échantillon donne un aperçu de la façon dont les opérateurs de TrickBot sont en mesure de développer de nouvelles fonctions si rapidement – c’est-à-dire, peut-être en externalisant les tâches de codage, et peut-être en embauchant des codeurs en leur faisant penser qu’ils effectuent un travail de développement anti-malware légitime.

Lors de l’exécution d’opérations criminelles réelles, il n’est pas nécessaire d’alerter un utilisateur de l’activité ‘frauduleuse’ ou ‘suspecte’ (en particulier via un navigateur) pendant une infection active, car cela pourrait entraîner la perte du bot dans la plupart des cas.

Cela nous fait penser que les développeurs auraient pu embaucher des codeurs pour ce module en leur disant que c’était pour un piratage éthique ou un test de pénétration. Cela leur permet de recruter des développeurs ou des ingénieurs sociaux qui pourraient ne pas vouloir coder des logiciels malveillants mais seraient des victimes des la tromperie des opérateurs de TrickBot.

L’externalisation du travail n’est pas une idée nouvelle, a-t-il ajouté: “Depuis les opérations d’externalisation FIN7 largement divulguées, on pense que c’est une tactique courante parmi les groupes de cyber-ciminels de haut niveau”, a déclaré Kremez.

Il a ajouté que l’échantillon est associé au marqueur de distribution/campagne «chil48», qui est l’un des marqueurs que les chercheurs pensent être utilisé par le groupe pour suivre la propagation de ses campagnes. Kremez a déclaré qu’il semble que cette souche de malware ait «été assez répandue, affectant des milliers de victimes dans le monde».

Des utilisateurs de Reddit ont également commencé à signaler l’activité il y a quelques semaines, a souligné Bleeping Computer.

trickbot

Fait intéressant, les opérateurs de TrickBot pourraient bientôt avoir un autre nouveau module à déployer: le chercheur a également trouvé un morceau de code appelé «socksbot.dll», qui, selon lui, semble agir comme un proxy Socks5 pour le malware.

«Socksbot est un nom plus récent pour le proxy Socks5 utilisé pour la fraude bancaire et d’autres activités malveillantes», a déclaré Kremez.

Dans l’ensemble, l’examen du code du module et son déploiement erroné ont offert un aperçu sur les méthodes d’un des groupes de logiciels malveillants les plus sophistiqués du marché.

«TrickBot gère ses opérations en tant qu’organisation criminelle avec de multiples codeurs et actifs talentueux à sa disposition», a expliqué Kremez.

Toute personne recevant ces alertes devrait mettre sa machine hors ligne, a recommandé Kremez, et devrait réinitialiser à la fois leurs mots de passe et toutes les sessions connectées, pour empêcher la réutilisation de cookies volés.