ESET participe à une opération mondiale visant à perturber Trickbot, un botnet qui a infecté plus d'un million d'ordinateurs

 

Trickbot vole les identificateurs et, plus récemment, a déployé un ransomware; avec une analyse technique, ESET Research a contribué à l'effort

 Les chercheurs d'ESET ont participé à une opération mondiale afin de perturber le botnet Trickbot, qui, depuis 2016, a infecté plus d'un million d'appareils informatiques. En partenariat avec Microsoft, Black Lotus Labs Threat Research, NTT et d’autres, l’opération a impacté Trickbot en déchargeant ses serveurs de commande et de contrôle. ESET a contribué à l'effort avec des analyses techniques, des informations statistiques et des noms de domaine et adresses IP connus des serveurs de commande et de contrôle. Trickbot est connu pour voler les informations d'identification des ordinateurs infectés et, plus récemment, a été observé plus particulièrement comme un mécanisme de livraison d'attaques plus dommageables, telles que les ransomwares.

ESET Research a suivi ses activités depuis sa première détection, fin 2016. Rien qu'en 2020, la plate-forme ESET de suivi des botnets a analysé plus de 125.000 échantillons malveillants, téléchargé et déchiffré plus de 40.000 fichiers de configuration utilisés par les différents modules Trickbot. Ceci donne une excellente vue sur les différents serveurs C&C utilisés par ce botnet.

«Au cours des années durant lesquelles nous l'avons suivi, les compromis Trickbot ont été signalés de manière régulière, ce qui en fait un des botnets les plus importants et les plus durables. Trickbot est une des familles de malwares bancaires les plus répandues, et cette souche de malwares représente une menace pour les internautes du monde entier », explique Jean-Ian Boutin, responsable Recherche en Menaces chez ESET.

« Tout au long de son existence, ce malware a été distribué de plusieurs manières. Récemment, une chaîne que nous avons fréquemment observée est : Trickbot est déposé sur des systèmes déjà compromis par Emotet, un autre grand botnet. Dans le passé, le malware Trickbot était principalement utilisé par ses opérateurs en tant que cheval de Troie bancaire. Il volait des informations d'identification sur des comptes bancaires en ligne et essayait d'effectuer des virements frauduleux.

Un des plugins les plus anciens développés pour la plate-forme permet à Trickbot d'utiliser des injections Web, une technique qui permet au malware de modifier de manière dynamique ce que l'utilisateur d'un système infecté voit lorsqu’il visite des sites Web spécifiques. «Grâce à notre suivi des campagnes Trickbot, nous avons collecté des dizaines de milliers de fichiers de configuration différents, ce qui nous permet de savoir quels sites Web ont été ciblés par les opérateurs de Trickbot. Les URL ciblées appartiennent, pour la plupart, aux institutions financières », ajoute Boutin.

«Essayer de perturber cette menace insaisissable est très difficile car elle dispose de divers mécanismes de repli et son interconnexion avec d'autres acteurs cybercriminels fort actifs dans le clandestinité rend l'opération globale extrêmement complexe», conclut Boutin.

Pour plus de détails techniques sur Trickbot, lisez le blog complet «ESET participe à l'opération mondiale pour perturber Trickbot» sur WeLiveSecurity https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/

Suivez également - ESET Research on Twitter  - pour les dernières nouvelles d'ESET Research.