Le trojan bancaire CoreBot fait son retour

0

Une nouvelle variante du cheval de Troie bancaire, CoreBot, très active pendant la période estivale de 2015, a été repérée par des chercheurs en sécurité, la nouvelle variante se propageant par le biais de documents Office malveillants. Bien qu’il puisse être utilisé contre n’importe quelle cible, CoreBot se concentre à nouveau sur les secteurs de la banque et de la finance, un groupe de victimes particulièrement lucratif.

Une attaque a un mode de fonctionnement qui peut être comparé à celui d’un tremblement de terre. Une fois qu’elle a eu lieu, on peut généralement s’attendre à des répliques. C’est le cas avec Corebot qui est principalement utilisé comme voleur de mot de passe. Apparu en 2015, il est très modulaire et donc facile à réutiliser et à adapter pour de nouvelles campagnes d’attaques, comme celle que nous constatons aujourd’hui. Il utilise généralement des scripts VBA/macros et des commandes powershell (embarqués dans un document Office par exemple) pour se rendre plus difficile, voire impossible à détecter/bloquer pour des antivirus traditionnels.

On pourrait s’étonner du retour d’un vieux malware mais les cybercriminels réutilisent régulièrement d’ancien morceau de code. Si celui-ci a bien fonctionné auparavant, pourquoi ne fonctionnerait-il pas à nouveau ? De plus, c’est beaucoup plus simple et économique que de développer une nouvelle attaque à partir de zéro. Cela fait partie du business habituel des cybercriminels. SentinelOne détecte chaque jour des centaines de milliers de « nouveaux » programmes malveillants uniques. Mais le plus souvent ces nouveautés ne se révèlent être que des variantes de précédentes versions.

Une vieille attaque efficace à nouveau

Pour rendre une vieille attaque comme CoreBot efficace à nouveau, il suffit d’apporter des modifications aux indicateurs clés de compromission. Il aura donc fallu modifier son code pour que sa signature soit différente, améliorer sa capacité d’évitement des outils de détection et changer sa structure de commande et de contrôle. Tout cela nécessite un peu de travail, mais relativement minime comparé au temps de développement d’attaques complètement nouvelles.

About Author

Patrice Puichaud

évangéliste chez SentinelOne

Leave A Reply