Trickbot, un trojan bancaire propagé par la plus grande vague de phishing de 2017

0

Vade Secure alertait vendredi dernier sur une très importante vague d’emails de phishing envoyés aux entreprises françaises. En effet, l’entreprise a bloqué 300 000 emails contenant un ransomware polymorphique qui ont ciblé les entreprises protégées par sa plateforme Cloud Corporate protégeant 400 000 boîtes. À ce propos, Microsoft vient de communiquer officiellement sur cette campagne afin d’informer ses clients via un tweet :

Une vague détectée depuis 6 jours par Vade Secure et qui est destinée à propager un trojan bancaire nommé Trickbot (un cousin de Dridex). Les vagues détectées par Vade Secure ont été très volumineuses et sur de très courtes durées, environ 1h en moyenne (plusieurs vagues entre 250 000 et 300 000 emails envoyés sur une plateforme Cloud corporate de Vade Secure qui protège 400 000 boites ! notamment vendredi 9 juin, lundi 13 juin).

Ce banking Trojan a fait son apparition dans des campagnes de spams massives et comporte des fonctionnalités lui permettant de ne pas se déclencher s’il détecte un environnement virtuel. Les campagnes de Trickbot ont adopté la même formule que les campagnes de ransomware Jaff (toujours actives mais sur des volumes plus discrets), c’est à dire un email de type envoi de facture, ou un envoi automatique de scanner (les formes les plus courantes et qui rappellent d’ailleurs Dridex). Il s’agit dans les deux cas de vagues qui adaptent la langue utilisée aux pays cibles.

nous n’avions pas vu une telle vague depuis l’an dernier à la même époque »

Cette vague est diffusée par le Botnet Necurs, bien connu depuis le malware Dridex et qui a une force de frappe extraordinaire. En termes de volumétrie, affirme Régis Bénard, Consultant Technique chez Vade Secure « nous n’avions pas vu une telle vague depuis l’an dernier à la même époque, où le volume cumulé entre plusieurs vagues sur une journée avait pu atteindre plus d’1 million d’emails incluant le célèbre ransomware Locky ».

En plus, pour leur première vague d’attaque, les cybercriminels ont de plus usurpé une adresse légitime d’une personne localisée en France afin de passer à travers les outils de détection basés sur des signatures, du moins pour la première vague. L’email inclut ensuite plus classiquement une pièce jointe zip, incluant un fichier PDF avec un XLMS embarqué qui télécharge le trojan bancaire trickbot en charge utile. Le Trojan intègre des fonctionnalités que nous observons régulièrement désormais c’est à dire qu’il est polymorphique et donc capable de réaliser plusieurs actions sur demande. A titre d’exemple, la charge utile ne se déclenche pas lorsqu’il réalise être analysé dans un environnement de sandboxing.

Quel est le but de l’attaque?

Concernant la provenance et le but de l’attaque, l’expert Régis Bénard ajoute : « Comme Dridex, Trickbot et Jaff utilisent le botnet Necurs. La similitude des vagues de Trickbot et Jaff dans leur forme (surtout au niveau de l’injection du code JS ou de la macro dans les pièces jointes) laisse penser qu’il s’agit du même groupe de cybercriminels. Les campagnes récentes de Trickbot en France et au Royaume-Uni sont très volumineuses. Les cybercriminels semblent donc avoir comme objectif récupérer rapidement un maximum de données de type cartes bancaires et identifiants de comptes ».

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply