TrickBot ajoute la porte dérobée BazarBackdoor à son arsenal

Un nouveau module pour le malware tristement célèbre connu sous le nom de TrickBot a été déployé. Il s’agit d’une porte dérobée furtive que les chercheurs appellent «BazarBackdoor».

Le code a été repéré pour la première fois dans le cadre d’une campagne d’hameçonnage qui a commencé en Mars, selon une analyse de Panda Security. La campagne a utilisé la plate-forme de marketing Sendgrid pour atteindre des cibles avec des envois de masse. Cependant, les e-mails étaient bien conçus, les opérateurs se sont efforcés à donner une apparence légitime aux liens d’hameçonnage à l’intérieur des e-mails. Les adresses des liens correspondent également aux leurres des e-mails, selon les chercheurs.

«Un nombre important de thèmes est utilisé pour personnaliser les e-mails: les plaintes des clients, le coronavirus ou les listes de licenciements des employés», ont-ils expliqué dans l’analyse. “Tous ces e-mails contiennent des liens vers des documents [supposément] hébergés sur Google Docs.”

trickbot

Les liens contenus dans les documents ont en fait mené à des sites Web qui présentent aux victimes un message d’erreur, indiquant que le document Word, Excel ou PDF auquel ils tentent d’accéder ne peut pas être affiché correctement. Ils ont ensuite été invités à télécharger la documentation pour pouvoir le lire.

«Lorsque la victime clique sur le lien, un exécutable sera téléchargé, il utilise une icône et un nom associé au type de document qui apparaît sur le site Web», selon Panda Security. “Par exemple,” COVID-19 ACH Payroll Report “téléchargera un document appelé PreviewReport.DOC.exe. Étant donné que Windows n’affiche pas les extensions de fichier par défaut, la plupart des utilisateurs verront simplement PreviewReport.DOC et ouvriront le fichier, le considérant comme un document légitime. »

L’exécutable s’avère être un loader pour BazarBackdoor. Une fois installé, il reste caché en arrière-plan pendant qu’il se connecte à un serveur de commande et de contrôle (C2), puis télécharge BazarBackdoor lui-même.

La porte dérobée est capable de fournir un accès complet à un attaquant et peut être utilisé comme point d’entrée pour n’importe quel genre d’attaques.

«Dans toute attaque avancée, que ce soit un rançongiciel, l’espionnage industriel ou une exfiltration de données d’entreprise, avoir ce type d’accès est essentiel», selon les chercheurs. «Si un cybercriminel parvient à installer BazarBackdoor sur le système informatique d’une entreprise, cela pourrait représenter un grave danger et, compte tenu du volume d’e-mails envoyés avec cette porte dérobée, il s’agit d’une menace répandue.»

Panda Security décrit BazarBackdoor comme un «logiciel malveillant de niveau entreprise» et ils l’ont associé à TrickBot parce que les deux logiciels malveillants partagent du code similaire, ainsi que des méthodes de livraison et d’exploitation.

trickbot

TrickBot est connu depuis quelques années

TrickBot est une souche de malware qui existe depuis 2016 et a débuté en tant que cheval de Troie bancaire. Au fil du temps, il a progressivement étendu ses fonctions pour inclure la collecte des informations d’identification à partir des e-mails, des navigateurs et des applications réseau installées d’une victime. Le malware a également évolué pour ajouter plus de modules et servir de véhicule de livraison pour d’autres logiciels malveillants. Et en effet, ce n’est pas le seul ajout de porte dérobée de TrickBot.

En janvier, les chercheurs ont découvert que les opérateurs du logiciel malveillant utilisaient «PowerTrick», une porte dérobée qui a aidé le logiciel malveillant à effectuer la reconnaissance des institutions financières ciblées. Il a également été utilisé pour récupérer d’autres portes dérobées, afin d’aider TrickBot à échapper à la détection.

De plus, en avril 2019, Cybereason a détecté une campagne d’attaque qui poursuivait un phénomène continu de chargement par Emotet de TrickBot comme moyen de déployer le rançongiciel Ryuk. Dans cette attaque cependant, TrickBot a utilisé sa porte dérobée Empire dans le cadre de la kill chain.

BazarBackdoor n’est pas non plus le seul ajout récent de TrickBot en général. Les opérateurs auraient changé leurs méthodes d’anti-analyse en Mars; dans le même laps de temps, ils ont également ajouté un module pour monter des attaques par force brute généralisées sur les connexions RDP.

“Le but de ces attaques était de profiter de l’augmentation soudaine du nombre de travailleurs à distance et de prendre le contrôle de leurs ordinateurs d’entreprise”, ont expliqué des chercheurs de Panda Security. “L’exploitation de la pandémie actuelle de COVID-19 de cette manière n’est qu’une des nombreuses techniques dont disposent les cybercriminels pour accéder aux systèmes informatiques des entreprises.”