Les auteurs de Trickbot s’en prennent délibérément à des cibles de premier plan pour voler et compromettre leurs données sensibles. Par ailleurs, l’infrastructure de Trickbot peut être utilisée par diverses familles de logiciels malveillants dans le but de causer davantage de dégâts sur les machines infectées.

CPR encourage à n’ouvrir que des documents provenant de sources fiables, car les auteurs de Trickbots exploitent des techniques d’anti-analyse et d’anti-obfuscation pour subsister sur les machines.

• CPR fournit une liste de 60 sociétés dont les clients ont été infectés par Trickbot.
• Les régions les plus infectées sont : la région APAC, l’Amérique latine, l’Europe, l’Afrique et l’Amérique du Nord
• CPR propose trois conseils de sécurité et de sûreté pour ne pas être victime de Trickbot

Check Point Research (CPR) a découvert de nouveaux détails sophistiqués de l’application de Trickbot. Trojan bancaire bien connu, Trickbot vole et compromet les données de ses victimes, en ciblant des victimes très connues. Trickbot vole et compromet les données de ses victimes, en ciblant notamment des destinataires de premier plan. Au total, CPR a recensé 60 entreprises dont les clients ont été victimes de Trickbot au cours des 14 derniers mois.

Principaux détails de fonctionnement de Trickbot

• Les logiciels malveillants sont très sélectifs dans le choix de leurs cibles.
• Plusieurs astuces - notamment l’anti-analyse et l’anti-désobfuscation - mises en œuvre dans les modules témoignent de la grande technicité des auteurs.
• L’infrastructure des Trickbots peut être utilisée par diverses familles de logiciels malveillants pour causer davantage de dommages aux machines infectées.
• Trickbot est un malware sophistiqué et polyvalent avec plus de 20 modules téléchargeables et exécutables à la demande.

Fonctionnement de Trickbot

1. Les auteurs de menaces reçoivent une base de données d’e-mails volés et envoient des documents malveillants aux adresses choisies.
2. L’utilisateur télécharge et ouvre un dit document, ce qui permet l’exécution de macros dans le processus.
3. La première étape du malware est exécutée, et la charge utile principale de Trickbot est téléchargée.
4. La charge utile principale de Trickbot est exécutée et elle établit sa persistance sur la machine infectée.
5. Les modules auxiliaires Trickbot peuvent être téléchargés sur la machine infectée à la demande des acteurs de la menace. La fonctionnalité de ces modules peut varier : ils peuvent se propager via un réseau d’entreprise compromis, voler les informations d’identification de l’entreprise, récupérer les identifiants de connexion aux sites bancaires, etc.

Citation : Alexander Chailytko, responsable de la cybersécurité, de la recherche et de l’innovation chez Check Point Software Technologies,
« Les chiffres de Trickbot sont ahurissants. Nous avons recensé plus de 140 000 machines ciblant les clients de certaines des entreprises les plus importantes et les plus respectées au monde. Nous avons ensuite observé que les auteurs de Trickbot possèdent les compétences nécessaires pour aborder le développement de logiciels malveillants à un niveau très bas et faire attention aux petits détails. Trickbot s’attaque à des victimes très connues pour voler les informations d’identification et permettre à ses opérateurs d’accéder aux portails contenant des données sensibles, où ils peuvent causer encore plus de dégâts. En parallèle, nous savons que les opérateurs qui se cachent derrière l’infrastructure sont très expérimentés dans le développement de logiciels malveillants à un haut niveau. C’est la combinaison de ces deux facteurs qui permet à Trickbot de rester une menace dangereuse depuis plus de 5 ans déjà. J’encourage vivement tous les usagers à n’ouvrir que des documents provenant de sources fiables et à utiliser des mots de passe différents sur différents sites web. »

En conclusion, les conseils de sécurité Check Point :
1. N’ouvrez que les documents que vous recevez de sources fiables. Ne permettez pas l’exécution de macros dans les documents.
2. Assurez-vous que vous disposez des dernières mises à jour de votre système d’exploitation et de votre antivirus.
3. Utilisez des mots de passe différents sur les différents sites web.