Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le trojan bancaire CoreBot fait son retour

novembre 2017 par SentinelOne

Une nouvelle variante du cheval de Troie bancaire, CoreBot, très active pendant la période estivale de 2015, a été repérée par des chercheurs en sécurité, la nouvelle variante se propageant par le biais de documents Office malveillants. Patrice Puichaud, directeur des ventes EMEA et APAC de SentinelOne, commente :

« Bien qu’il puisse être utilisé contre n’importe quelle cible, CoreBot se concentre à nouveau sur les secteurs de la banque et de la finance, un groupe de victimes particulièrement lucratif. »

« Une attaque a un mode de fonctionnement qui peut être comparé à celui d’un tremblement de terre. Une fois qu’elle a eu lieu, on peut généralement s’attendre à des répliques. C’est le cas avec Corebot qui est principalement utilisé comme voleur de mot de passe. Apparu en 2015, il est très modulaire et donc facile à réutiliser et à adapter pour de nouvelles campagnes d’attaques, comme celle que nous constatons aujourd’hui. Il utilise généralement des scripts VBA/macros et des commandes powershell (embarqués dans un document Office par exemple) pour se rendre plus difficile, voire impossible à détecter/bloquer pour des antivirus traditionnels. »

« On pourrait s’étonner du retour d’un vieux malware mais les cybercriminels réutilisent régulièrement d’ancien morceau de code. Si celui-ci a bien fonctionné auparavant, pourquoi ne fonctionnerait-il pas à nouveau ? De plus, c’est beaucoup plus simple et économique que de développer une nouvelle attaque à partir de zéro. Cela fait partie du business habituel des cybercriminels. SentinelOne détecte chaque jour des centaines de milliers de "nouveaux" programmes malveillants uniques. Mais le plus souvent ces nouveautés ne se révèlent être que des variantes de précédentes versions. Pour rendre une vieille attaque comme CoreBot efficace à nouveau, il suffit d’apporter des modifications aux indicateurs clés de compromission. Il aura donc fallu modifier son code pour que sa signature soit différente, améliorer sa capacité d’évitement des outils de détection et changer sa structure de commande et de contrôle. Tout cela nécessite un peu de travail, mais relativement minime comparé au temps de développement d’attaques complètement nouvelles. »




Voir les articles précédents

    

Voir les articles suivants