TrickBot: contrôle ActiveX, cache 1 dropper dans les images

Le cheval de Troie bancaire TrickBot continue de s’améliorer, avec l’ajout d’un contrôle ActiveX Windows 10 pour exécuter des macros malveillantes dans les documents piégés.

Michael Gorelik, chercheur de Morphisec Labs, a déclaré qu’au moins deux douzaines de documents malveillants ont été découverts au cours des dernières semaines. Ces documents utilisent ActiveX – une fonctionnalité du protocole RDP (Remote Desktop Protocol) – pour déclencher automatiquement des macros malveillantes dans des documents joints aux e-mails de spam. Il crée et exécute le téléchargeur JavaScript OSTAP, qui agit comme un dropper pour le payload TrickBot. La seule interaction requise pour l’utilisateur est d’activer les macros.

“Chaque document contenait généralement une image pour convaincre les cibles d’activer le contenu”, a-t-il écrit dans un communiqué. «Cela mène à l’exécution de la macro malveillante, mais cette fois, l’image cachait également un contrôle ActiveX. OSTAP, le téléchargeur JavaScript malveillant, est ensuite caché dans des lettres de couleur blanche à l’intérieur du contenu, il n’est donc pas visible par les particuliers, mais peut être vu par les machines.”

trickbot

Le contrôle ActiveX utilise la classe «MsRdpClient10NotSafeForScripting», selon le chercheur, qui correspond au contrôle à distance.

«Le champ Serveur est vide dans le script, ce qui entraînera plus tard une erreur que les pirates vont exploiter pour exécuter leur propre code», a-t-il expliqué. «OSTAP ne s’exécutera que si le numéro d’erreur correspond exactement à « disconnectReasonDNSLookupFailed »(260); la commande OSTAP wscript est concaténée avec une combinaison de caractères qui dépendent du calcul du numéro d’erreur. »

Dès que OSTAP est créé sous la forme d’un fichier BAT, le fichier est exécuté et le formulaire du document Word est fermé.

“Le fichier BAT exécutera wscript avec son propre contenu”, a déclaré Gorelick. “Une vieille astuce utilisant des commentaires que le BAT ignorera lors de l’exécution de wscript (commande non reconnue) tout en étant ignoré avec son contenu alors qu’il est exécuté par wscript (ou tout autre interpréteur qui comprend à la syntaxe des commentaires).”

Cette «fonctionnalité» ActiveX ne fonctionnera pas sur les ordinateurs qui n’utilise pas Windows 10, selon l’analyse.

trickbot

TrickBot continue d’évoluer

TrickBot a été développé en 2016 en tant logiciel malveillant bancaire pour succéder au cheval de Troie bancaire Dyre; mais depuis, il est devenu une solution pour toute sorte d’utilisation, basée sur des modules, conçue spécialement pour les entreprises. Les chercheurs affirment que TrickBot est particulièrement dangereux car il évolue constamment en incorporant de nouvelles fonctionnalités.

Un peu plus tôt en février, par exemple, le malware a bénéficié d’une fonctionnalité de contournement pour le contrôle de compte d’utilisateur (UAC) Windows 10, afin de pouvoir diffuser des logiciels malveillants sur plusieurs ordinateurs et points de terminaison sur un réseau. Cette année encore, SentinelLabs a découvert qu’une porte dérobée furtive surnommée «PowerTrick» avait été ajoutée à TrickBot.

Et, en 2019, diverses versions de TrickBot ont régulièrement incorporé de nouvelles astuces à leur arsenal, y compris une fonctionnalité qui s’attaque aux informations d’identification à distance et une mise à jour de son récupérateur de mot de passe pour cibler les données des applications OpenSSH et OpenVPN.

L’année dernière, des chercheurs ont également trouvé des preuves que l’organisation criminelle derrière TrickBot a forgé une union sans précédent avec le groupe nord-coréen Lazarus grâce à une framework tout-en-un développé par TrickBot et qui se fait appelé Anchor Project.

«Comme de nouvelles fonctionnalités sont introduites dans un système d’exploitation constamment mis à jour, les fournisseurs de solutions de sécurité doivent également mettre à jour leurs techniques pour protéger le système», selon Gorelick. «Cela peut devenir un travail très épuisant et long, ce qui peut conduire à l’effet inverse. Les distributeurs de TrickBot ont encore une fois profité de l’opportunité de ce changement. »

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x