Qu’est-ce que le logiciel malveillant TrickBot et comment pouvez-vous vous protéger ?
Le malware TrickBot a été conçu à l'origine pour voler les informations d'identification bancaires, mais a lentement évolué pour devenir une plate-forme polyvalente qui présente désormais un risque grave pour les ordinateurs et les réseaux domestiques.
Voyons comment ce malware est distribué, les types de risques qu'il présente et que pouvons-nous faire en tant qu'utilisateurs d'ordinateurs pour nous protéger.
Contexte du logiciel malveillant TrickBot
TrickBot, également connu sous le nom de TrickLoader, est apparu en 2016 comme un virus cheval de Troie conçu pour duper les services financiers et les utilisateurs de services bancaires en ligne. En volant les identifiants bancaires, le virus initierait de fausses sessions de navigation et effectuerait des transactions frauduleuses directement depuis les ordinateurs de la victime.
En raison de sa nature modulaire, ce malware est maintenant devenu une plate-forme complète avec divers modules de plug-in, des capacités de crypto-mining et une association sans fin avec les infections de ransomware.
Pire encore, les acteurs de la menace derrière son opération mettent constamment à jour son logiciel pour le rendre aussi invincible que possible.
Comment le TrickBot est-il distribué ?
Historiquement, ce malware se propage par le biais d'attaques de phishing et de MalSpam ; ceux-ci restent les moyens les plus importants pour sa propagation.
Ces méthodes incluent principalement des campagnes de spearphishing qui utilisent des e-mails personnalisés avec des liens malveillants et des pièces jointes envoyées aux destinataires. Une fois ces liens activés, le malware TrickBot est distribué.
Les campagnes de harponnage peuvent également inclure des leurres tels que des factures, de faux avis d'expédition, des paiements, des reçus et de nombreuses autres offres financières. Parfois, ces offres peuvent aussi s'inspirer de l'actualité. TrickBot est également trois fois et demie plus susceptible d'affecter les réseaux de bureau à domicile que les réseaux d'entreprise.
Dans un environnement d'entreprise, un TrickBot peut être propagé par les deux méthodes suivantes :
Vulnérabilités du réseau : TrickBot exploite normalement le protocole SMB (Server Message Block) d'une organisation pour se propager. Ce protocole est celui qui permet aux ordinateurs Windows de disperser des informations entre d'autres systèmes sur le même réseau.
Charge utile secondaire : TrickBot peut également se propager par le biais d'infections secondaires et d'autres chevaux de Troie puissants tels que Emotet .
Quels risques le malware TrickBot pose-t-il ?
Depuis sa création, le malware TrickBot est une préoccupation majeure pour tous les types d'utilisateurs, mais au fil du temps, il s'est étendu au malware modulaire qui le rend facilement extensible.
Voici quelques facteurs de risque posés par TrickBot.
Vol d'identifiants
TrickBot est conçu pour voler les données privées d'un utilisateur. Il accomplit sa mission en volant les identifiants de connexion et les cookies du navigateur lorsque les utilisateurs effectuent des sessions bancaires en ligne.
Installations de porte dérobée
TrickBot peut également permettre à n'importe quel système d'être accessible à distance dans le cadre d'un botnet .
Élévations de privilèges
En espionnant les cibles et en obtenant un accès et des informations au système, ce malware peut fournir un accès privilégié à ses contrôleurs, comme les informations de connexion, l'accès à la messagerie électronique et l'accès aux contrôleurs de domaine.
Téléchargement d'autres types de logiciels malveillants
TrickBot peut permettre le téléchargement d'autres logiciels malveillants.
Essentiellement un cheval de Troie, TrickBot atterrit sur votre appareil déguisé en pièces jointes innocentes ou en documents PDF, mais une fois à l'intérieur d'un système, il peut faire des ravages en téléchargeant d'autres logiciels malveillants tels que le ransomware Ryuk ou Emotet.
Auto-modification pour éviter la détection
En raison de sa nature modulaire, chaque instance de TrickBot peut être différente des autres. Cela donne aux cybercriminels la possibilité de personnaliser ce malware afin de le rendre moins détectable et visible.
Ses nouvelles variantes telles que le "nworm" sont désormais conçues pour ne laisser aucune trace sur l'appareil d'une victime car elles disparaissent complètement après un arrêt ou un redémarrage.
Comment supprimer TrickBot une fois détecté
Même les logiciels malveillants les plus intimidants peuvent avoir des défauts de développement. La clé est de trouver ces failles et de les exploiter afin de vaincre le malware. Il en va de même pour TrickBot.
Une infection TrickBot peut être supprimée manuellement ou à l'aide d'un logiciel antivirus robuste tel que Malware Bytes, conçu pour supprimer ce type de logiciel malveillant. Le supprimer à l'aide d'une suite antivirus offre un meilleur résultat, car la suppression manuelle peut parfois être compliquée.
Après avoir déterminé le vecteur d'infection, la machine infectée doit être déconnectée du réseau dès que possible et tous les partages administratifs doivent être désactivés.
Une fois le logiciel malveillant supprimé, tous les identifiants et mots de passe du compte doivent être modifiés sur l'ensemble du réseau pour éviter de futures infections.
Conseils pour se protéger contre le malware TrickBot
Afin de vous protéger contre toute infection par des logiciels malveillants, il est important de comprendre leur fonctionnement. Voici comment vous protéger contre le Trickbot.
- Offrir une formation sur l'hameçonnage, la cybersécurité et l'ingénierie sociale à tous les employés. Si vous êtes un particulier, essayez de vous renseigner sur les attaques de phishing et évitez les liens suspects.
- Recherchez les IOC (indicateurs de compromis) possibles en utilisant des outils spécialement conçus pour détecter les logiciels malveillants comme TrickBot. Cela aidera à identifier les machines infectées sur votre réseau.
- Isolez les machines identifiées et infectées dès que possible pour éviter une nouvelle propagation.
- Téléchargez et appliquez des correctifs qui prennent en compte le type de vulnérabilités exploitées par TrickBot.
- Désactivez tous les partages administratifs et modifiez tous les mots de passe locaux et réseau.
- Investissez dans un programme de protection de cybersécurité multicouche, en particulier ceux qui peuvent détecter et bloquer de tels logiciels malveillants en temps réel.
- Appliquez toujours le principe du moindre privilège (POLP) qui garantit aux utilisateurs le niveau d'accès minimum requis pour accomplir leurs tâches. Les informations d'identification administratives ne doivent être attribuées qu'aux administrateurs.
- Envisagez d'élaborer une politique relative aux e-mails suspects afin que tous les e-mails suspects soient signalés à vos services informatiques ou de sécurité.
- Bloquez toutes les adresses IP suspectes au niveau du pare-feu et implémentez des filtres pour les e-mails avec des indicateurs MalSpam connus.
La sécurité est plus importante que jamais
Le malware TrickBot a été conçu pour voler des informations bancaires et des déploiements de ransomware, mais s'est maintenant transformé en malware modulaire qui peut échapper à la détection et se transformer en d'autres types d'attaques de malware.
Avec l'apparition de nouveaux types de logiciels malveillants et de virus, le nombre d'incidents de cybersécurité augmente également à un rythme alarmant. C'est pourquoi il est impératif de protéger nos données personnelles et professionnelles contre les menaces de sécurité.
Le respect d'une bonne hygiène de sécurité et de protocoles de sécurité peut nous assurer que nous faisons tout ce qui est en notre pouvoir pour battre TrickBot ou tout autre malware.