ESET participe à une opération mondiale visant à perturber Trickbot, un botnet qui a infecté plus d'un million d'ordinateurs

 

Trickbot vole les identificateurs et, plus récemment, a déployé un ransomware; avec une analyse technique, ESET Research a contribué à l'effort

 Les chercheurs d'ESET ont participé à une opération mondiale afin de perturber le botnet Trickbot, qui, depuis 2016, a infecté plus d'un million d'appareils informatiques. En partenariat avec Microsoft, Black Lotus Labs Threat Research, NTT et d’autres, l’opération a impacté Trickbot en déchargeant ses serveurs de commande et de contrôle. ESET a contribué à l'effort avec des analyses techniques, des informations statistiques et des noms de domaine et adresses IP connus des serveurs de commande et de contrôle. Trickbot est connu pour voler les informations d'identification des ordinateurs infectés et, plus récemment, a été observé plus particulièrement comme un mécanisme de livraison d'attaques plus dommageables, telles que les ransomwares.

ESET Research a suivi ses activités depuis sa première détection, fin 2016. Rien qu'en 2020, la plate-forme ESET de suivi des botnets a analysé plus de 125.000 échantillons malveillants, téléchargé et déchiffré plus de 40.000 fichiers de configuration utilisés par les différents modules Trickbot. Ceci donne une excellente vue sur les différents serveurs C&C utilisés par ce botnet.

«Au cours des années durant lesquelles nous l'avons suivi, les compromis Trickbot ont été signalés de manière régulière, ce qui en fait un des botnets les plus importants et les plus durables. Trickbot est une des familles de malwares bancaires les plus répandues, et cette souche de malwares représente une menace pour les internautes du monde entier », explique Jean-Ian Boutin, responsable Recherche en Menaces chez ESET.

« Tout au long de son existence, ce malware a été distribué de plusieurs manières. Récemment, une chaîne que nous avons fréquemment observée est : Trickbot est déposé sur des systèmes déjà compromis par Emotet, un autre grand botnet. Dans le passé, le malware Trickbot était principalement utilisé par ses opérateurs en tant que cheval de Troie bancaire. Il volait des informations d'identification sur des comptes bancaires en ligne et essayait d'effectuer des virements frauduleux.

Un des plugins les plus anciens développés pour la plate-forme permet à Trickbot d'utiliser des injections Web, une technique qui permet au malware de modifier de manière dynamique ce que l'utilisateur d'un système infecté voit lorsqu’il visite des sites Web spécifiques. «Grâce à notre suivi des campagnes Trickbot, nous avons collecté des dizaines de milliers de fichiers de configuration différents, ce qui nous permet de savoir quels sites Web ont été ciblés par les opérateurs de Trickbot. Les URL ciblées appartiennent, pour la plupart, aux institutions financières », ajoute Boutin.

«Essayer de perturber cette menace insaisissable est très difficile car elle dispose de divers mécanismes de repli et son interconnexion avec d'autres acteurs cybercriminels fort actifs dans le clandestinité rend l'opération globale extrêmement complexe», conclut Boutin.

Pour plus de détails techniques sur Trickbot, lisez le blog complet «ESET participe à l'opération mondiale pour perturber Trickbot» sur WeLiveSecurity https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/

Suivez également - ESET Research on Twitter  - pour les dernières nouvelles d'ESET Research.

 

Working from a hotel? Beware the dangers of public Wi‑Fi

As more and more hotels are turning rooms into offices, the FBI is warning remote workers of cyber-threats lurking in the shadows

Amer Owaida

With the COVID-19 pandemic forcing an increasing number of companies to shift to remote work, some employees working from home have been struggling to find a quiet environment for work. The hospitality industry has also been impacted by the pandemic, with more and more hotels across the United States and around the world offering their empty rooms as daytime makeshift offices for remote workers seeking to work in a distraction-free place.

 

Taking note of the trend, the FBI’s Internet Crime Complaint Center (IC3) has issued an announcement warning about the risks of using hotel Wi-Fi networks to access sensitive and work-related information. “Malicious actors can exploit inconsistent or lax hotel Wi-Fi security and guests’ security complacency to compromise the work and personal data of hotel guests,” the Bureau warned.

 

Related reading: Public Wi‑Fi security: Your questions answered

 

Hotel guests connected to Wi-Fi networks can be easy targets for cybercriminals, who can launch a variety of attacks to target their victims. This includes infiltrating a poorly secured network to monitor the victims’ traffic and redirect them to fraudulent login pages. Another threat is posed by “evil twin” attacks, wherein the attacker creates a malicious Wi-Fi network that carries a similar name to the hotel’s network in order to dupe unsuspecting guests into connecting to it and providing the black hats with direct access to the devices.

 

A threat actor could also compromise the employee’s company-issued devices in order to gain access to sensitive data stored on the device or to infiltrate the company’s network. This could allow the hacker to comb through the company’s systems in search of proprietary information, as well as implant malware such as keyloggers or ransomware that could then propagate to other devices connected to the network.

 

“Cybercriminals can use information gathered from access to company data to trick business executives into transferring company funds to the criminal,” added the FBI when highlighting the threat of Business Email Compromise (BEC) scams, also known as CEO fraud.

 

Related reading: 6 tips for safe and secure remote working

 

Remote workers who are considering making the leap to working from a hotel would do well to ponder additional risks beyond their control, such as the hotel’s approach to cybersecurity or how it handles its network infrastructure. The hotel-turned-office may be using outdated networking equipment that could be riddled with vulnerabilities or it may not update and patch its systems often enough, any of which could provide avenues for attacks.

 

However, if working from a hotel room remains an attractive option, there are steps that employees can take to protect their devices and mitigate the chances of falling prey to cybercriminals while working on a public hotel Wi-Fi.

·       Using a Virtual Private Network (VPN) will help protect you from prying eyes by encrypting your internet traffic.

·       Check to see if your work device as well as any device you will be connecting to the hotel’s Wi-Fi network have been updated to the newest versions of their operating systems and that all recent security patches have been applied.

·       If possible, avoid accessing any accounts or files that carry sensitive data such as financial details.

·       While logging into your accounts make sure that you’re using two-factor authentication, which will add an extra layer of security.

·       Instead of connecting to the hotel’s network, you can use your smartphone to create a mobile hotspot.