Les chercheurs d'ESET ont participé à une opération mondiale afin de perturber le botnet Trickbot, qui, depuis 2016, a infecté plus d'un million d'appareils informatiques. En partenariat avec Microsoft, Black Lotus Labs Threat Research, NTT et d’autres, l’opération a impacté Trickbot en chargeant ses serveurs de commande et de contrôle. ESET a contribué à l'effort avec des analyses techniques, des informations statistiques et des noms de domaine et adresses IP connus des serveurs de commande et de contrôle. Trickbot est connu pour voler les informations d'identification des ordinateurs infectés et, plus récemment, a été observé plus particulièrement comme un mécanisme de livraison d'attaques plus dommageables, telles que les ransomwares.

Rien qu'en 2020, la plate-forme ESET de suivi des botnets a analysé plus de 125.000 échantillons malveillants, téléchargé et déchiffré plus de 40.000 fichiers de configuration utilisés par les différents modules Trickbot. Ceci donne une excellente vue sur les différents serveurs C&C utilisés par ce botnet.

«Au cours des années durant lesquelles nous l'avons suivi, les compromis Trickbot ont été signalés de manière régulière, ce qui en fait un des botnets les plus importants et les plus durables. Trickbot est une des familles de malwares bancaires les plus répandues, et cette souche de malwares représente une menace pour les internautes du monde entier », explique Jean-Ian Boutin, responsable Recherche en Menaces chez ESET.

« Tout au long de son existence, ce malware a été distribué de plusieurs manières. Récemment, une chaîne que nous avons fréquemment observée est : Trickbot est déposé sur des systèmes déjà compromis par Emotet, un autre grand botnet. Dans le passé, le malware Trickbot était principalement utilisé par ses opérateurs en tant que cheval de Troie bancaire. Il volait des informations d'identification sur des comptes bancaires en ligne et essayait d'effectuer des virements frauduleux.
Détections mondiales de Trickbot par la télémétrie ESET entre octobre 2019 et octobre 2020

Un des plugins les plus anciens développés pour la plate-forme permet à Trickbot d'utiliser des injections Web, une technique qui permet au malware de modifier de manière dynamique ce que l'utilisateur d'un système infecté voit lorsqu’il visite des sites Web spécifiques. «Grâce à notre suivi des campagnes Trickbot, nous avons collecté des dizaines de milliers de fichiers de configuration différents, ce qui nous permet de savoir quels sites Web ont été ciblés par les opérateurs de Trickbot. Les URL ciblées appartiennent, pour la plupart, aux institutions financières », ajoute Boutin.

«Essayer de perturber cette menace insaisissable est très difficile car elle dispose de divers mécanismes de repli et son interconnexion avec d'autres acteurs cybercriminels fort actifs dans le clandestinité rend l'opération globale extrêmement complexe», conclut Boutin.

Pour plus de détails techniques sur Trickbot, lisez le blog complet «ESET participe à l'opération mondiale pour perturber Trickbot» sur https://www.welivesecurity.com/2020/10/12/eset-takes-part-global-operation-disrupt-trickbot/

Suivez également - ESET Research on Twitter - pour les dernières nouvelles d'ESET Research.
Visitez ESET Belgium sur https://www.eset.com/be-fr/