Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont participé à une opération mondiale visant à déstabiliser le botnet Trickbot, qui a infecté depuis 2016 plus d’un million d’appareils informatiques. Grâce à ses partenaires, notamment Microsoft, Lumen’s Black Lotus Labs Threat Research et NTT, l’opération a eu un impact sur Trickbot en démantelant ses serveurs de commande et de contrôle. ESET y a contribué par des analyses techniques, des informations statistiques, des noms de domaine et des adresses IP de serveurs de commande et de contrôle connus. Trickbot vole des identifiants sur les ordinateurs compromis, et intègre depuis peu un mécanisme d’attaques plus dévastateur, par exemple via l’installation de rançongiciels.
ESET Research surveille ses activités depuis sa découverte fin 2016. Rien qu’en 2020, la plateforme de suivi des botnets d’ESET a analysé plus de 125 000 échantillons malveillants, et a téléchargé et déchiffré plus de 40 000 fichiers de configuration utilisés par les différents modules de Trickbot. Elle a ainsi fourni de précieux renseignements sur les différents serveurs de commande et de contrôle utilisés par ce botnet.
« Pendant toutes ces années, nous avons régulièrement identifié des attaques réussies de Trickbot, ce qui en fait l’un des plus importants et des plus anciens botnets en opération. Trickbot est l’une des familles de malwares bancaires les plus répandues. Cette souche de malware représente une menace pour les internautes du monde entier, » explique Jean-Ian Boutin, Head of Threat Research chez ESET.
Tout au long de son existence, ce malware a été diffusé de différentes manières. Mais récemment, Trickbot est distribué sur des systèmes déjà infectés par Emotet, un autre grand botnet. Auparavant, Trickbot était surtout utilisé par ses opérateurs comme cheval de Troie bancaire, pour voler des identifiants de comptes bancaires en ligne et tenter d’effectuer des transferts frauduleux.
Détections mondiales de Trickbot par la télémétrie ESET entre octobre 2019 et octobre 2020
L’un des plus anciens plugins développés pour Trickbot effectue des injections web, une technique permettant au malware de modifier dynamiquement ce que l’utilisateur d’un système compromis voit lorsqu’il consulte des sites web spécifiques. « Grâce à notre surveillance des campagnes de Trickbot, nous avons recueilli des dizaines de milliers de fichiers de configuration différents, ce qui nous a permis de connaître les sites web ciblés par les opérateurs de Trickbot. Les URL ciblés appartiennent pour la plupart à des institutions financières, » ajoute M. Boutin.
« Tenter de mettre fin à cette menace insaisissable est très difficile car elle comporte plusieurs mécanismes de repli, et ses liens avec d’autres cybercriminels très actifs rend une opération globale de ce type extrêmement complexe à mettre en œuvre, » conclut M. Boutin.
Pour plus de détails techniques sur Trickbot, lisez l’article complet « ESET takes part in global operation to disrupt Trickbot » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.