Trickbot met à jour son module VNC pour les cibles importantes

0

Le malware Trickbot qui distribue souvent diverses souches de ransomwares, continue d’être la menace la plus répandue alors que ses développeurs mettent à jour le module VNC utilisé pour le contrôle à distance des systèmes infectés.

Son activité n’a cessé d’augmenter depuis l’interruption complète du botnet Emotet en Janvier, qui servait de distributeur à la fois à Trickbot et à d’autres acteurs menaçants de premier plan.

Menace la plus répandue

Trickbot existe depuis près d’une demi-décennie et est passé d’un cheval de Troie bancaire à l’un des plus grands botnets d’aujourd’hui qui vend l’accès à divers pirates informatiques.

Certaines des opérations de ransomware utilisant ce botnet pour l’accès au réseau incluent les tristement célèbres Ryuk, Conti, REvil, ainsi qu’un nouveau appelé Diavol, qui signifie diable en roumain.

Depuis le retrait d’Emotet par les forces de l’ordre, l’activité de Trickbot a commencé à augmenter à des niveaux tels qu’en Mai, il s’agissait du malware le plus répandu sur le radar de Check Point.

Le malware a également maintenu sa position ce mois-ci, note la société de cybersécurité dans un rapport publié récemment, ajoutant que les responsables de Trickbot travaillent constamment pour l’améliorer.

Selon la télémétrie de Check Point, Trickbot a touché 7% des organisations à travers le monde, suivi du mineur de crypto-monnaie XMRig et le voleur d’informations Formbook, qui a affecté 3% des organisations que Check Point surveille dans le monde.

Nouveau module VNC en préparation

Dans un autre rapport, la société roumaine de cybersécurité Bitdefender affirme que ses systèmes ont détecté une nouvelle version du module VNC de Trickbot (vncDLL), utilisé après avoir compromis des cibles de premier plan.

Le module mis à jour s’appelle tvncDLL et permet à l’acteur malveillant de surveiller la victime et de collecter des informations qui permettraient de basculer vers des systèmes précieux sur le réseau.

Bien que tvncDLL ait été découvert le 12 mai, les chercheurs roumains affirment qu’il est toujours en cours de développement, « puisque le groupe a un calendrier de mise à jour fréquent, ajoutant régulièrement de nouvelles fonctionnalités et des corrections de bugs ».

L’analyse du module par Bitdefender indique qu’il utilise un protocole de communication personnalisé et atteint le serveur de commande et de contrôle (C2) via l’une des neuf adresses IP proxy qui permettent l’accès aux victimes derrière des pare-feu.

Trickbot

Le composant VNC peut arrêter Trickbot et le décharger de la mémoire. Lorsqu’un opérateur initie la communication, le module crée un bureau virtuel avec une interface personnalisée.

« Pendant le fonctionnement normal, le bureau alternatif est créé et entièrement contrôlé par le module, en copiant les icônes du bureau, en créant une barre des tâches personnalisée pour gérer ses processus et en créant un menu contextuel personnalisé contenant des fonctionnalités personnalisées », écrivent les chercheurs de Bitdefender dans leur rapport.

À l’aide de l’invite de commande, le pirate informatique peut télécharger de nouvelles charges utiles à partir du serveur C2, ouvrir des documents et la boîte de réception des e-mails, voler des données du système compromis.

Une autre option appelée « Navigateur natif » lance un navigateur Web en tirant parti de la fonctionnalité d’automatisation OLE dans Internet Explorer.

La fonction est en cours de développement et son but est de voler les mots de passe de Google Chrome, Mozilla Firefox, Opera et Internet Explorer.

Trickbot

Les chercheurs affirment que si l’ancien module vncDLL est utilisé depuis au moins 2018, son successeur est devenu actif le 11 mai 2021, selon des preuves révélées au cours de leur enquête.

Les données de télémétrie de Bitdefender montrent que les serveurs C2 de Trickbot sont répartis sur presque tous les continents, le plus grand nombre (54) étant situé en Amérique du Nord. Selon la société, le nombre de serveurs C2 a considérablement augmenté cette année, passant d’environ 40 en janvier à plus de 140 en juin.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire