TrickBot est un malware conçu initialement pour voler les identifiants de la victime. Particulièrement dangereux, ce cheval de Troie bancaire est par ailleurs capable d’évoluer, ce qui le rend potentiellement fatal, surtout lorsqu’il est combiné à d’autres programmes malveillants comme Emotet ou Ryuk.
Qu’est-ce qu’un TrickBot ?
TrickBot est un un cheval de Troie bancaire publié en 2016, qui a évolué en un logiciel malveillant modulaire et multiphase capable entre autres de :
- Voler des informations d’identification, des données et des informations personnelles ;
- Installer des backdoors dans le réseau pour permettre un accès à distance ;
- Télécharger et installer d’autres logiciels malveillants ou ransomwares pour mener des attaques secondaires, les plus courants étant les ransomwares Ryuk et Conti ;
- Désactiver les outils antivirus ou d’autres mesures de cybersécurité, comme Windows Defender.
- S’auto-modifier pour éviter d’être détecté ;
- …
En matière de cybersécurité et ransomware, TrickBot inquiète au plus haut point en raison de sa nature modulaire. Autrement dit, il est capable de s’adapter et d’évoluer pour cibler les faiblesses du réseau, qui peuvent ensuite être exploitées lors d’attaques ultérieures par d’autres logiciels malveillants ou des ransomwares. Nous vous le disions, le cheval de Troie bancaire TrickBot a vu le jour pour la première fois en 2016. On pense qu’il partage plusieurs liens avec Dyreza, un autre cheval de Troie bancaire qui a fait des ravages des années durant. En effet, TrickBot et Dyreza présentent de nombreuses similitudes opérationnelles et structurelles, notamment la façon dont le malware communique avec les serveurs de commande et de contrôle.
A ses débuts, TrickBot, également connu sous les appellations TrickLoader ou encore Trickster, avait pour principal objectif de voler les identifiants d’accès aux services bancaires sur internet en infectant les ordinateurs des particuliers. Il a cependant peu à peu évolué, sous l’impulsion de ses créateurs, pour devenir un outil modulaire multifonctionnel, notamment en servant de distributeur d’autres malwares tiers. Pour ne rien arranger, on apprend que les créateurs de TrickBot se seraient associés avec d’autres hackers pour infecter l’infrastructure de leur victime avec le ransomware Conti et d’autres types de menaces.
Cela représente un danger supplémentaire de TrickBot, d’autant plus que plusieurs solutions de cybersécurité continuent d’identifier le malware comme un cheval de Troie bancaire, alors qu’il a évolué en un outil modulaire multifonctionnel. C’est la raison pour laquelle certains spécialistes de la cybersécurité et des ransomwares pensent, en détectant TrickBot, qu’il s’agit d’une menace conventionnelle pour particuliers, qui se trouve dans le réseau de l’entreprise par accident. La vérité est évidemment toute autre, car il pourrait s’agir d’une tentative de transmission d’un malware.
Comment se diffuse le cheval de Troie bancaire TrickLoader ou Trickster ?
A son apparition en 2016, TrickLoader ou Trickster s’attelait à infiltrer les systèmes par le biais du phishing, une méthode qui consiste à envoyer des emails qui ont l’apparence de courriels de confiance provenant d’entités connues (entreprises, institutions…). Ces emails de phishing comprenaient le plus souvent des pièces jointes, que la victime était conviée à ouvrir. Il se pouvait également qu’il s’agisse d’un lien. Dès que la victime ouvrait la pièce jointe ou cliquait sur le lien, son appareil s’en trouvait immédiatement infecté, car le malware était alors téléchargé. Au-delà des emails de phishing, les infections par TrickLoader pouvaient également se faire par le biais de programmes ou de mises à jour malveillantes. A partir du moment où la victime installe le programme malveillant, celui-ci vole les informations de la victime tout en restant le plus discret possible pour rester indétectable.
Outre son caractère quasi indétectable, Trickbot se révèle également dangereux par sa capacité à interrompre non seulement les services de Windows, mais aussi les activités des logiciels antivirus, notamment Windows Defender. Ce n’est pas tout : Trickster va ensuite pouvoir obtenir les droits d’administration en étendant les droits, ce qui lui permet de charger automatiquement. Dès lors, TrickBot devient capable d’espionner les réseaux et le système, collectant par la même occasion les données de la victime et les transmettant aux hackers qui ont perpétué l’attaque.
Attention au trio Emotet, TrickBot et Ryuk
Couplé à d’autres programmes malveillants comme Emotet et Ryuk, Trickbot peut être véritablement fatal pour les données de la victime. Particulièrement redoutable et dangereux, le trio Emotet, TrickBot et Ryuk porte le niveau de dégâts que peut causer TrickLoader à un niveau extrême. En cause : les trois programmes malveillants travaillent de concert, de manière parfaitement synchronisée, ce qui leur permet de causer des dégâts quasiment irréparables. Concrètement, Emotet opère en « clé », en incarnant le rôle de cheval de Troie au début de l’infection, ce qui permet de donner accès à TrickBot et Ryuk. Ce faisant, Emotet donne en fait accès aux hackers à l’origine de l’infection. Dès lors, ces derniers utilisent Trickster pour soutirer les données présentes sur le système infecté. C’est là que Ryuk entre en jeu, un ransomware placé dans un maximum de systèmes. Le cryptotrojan Ryuk va aussi chiffrer le disque dur de la victime et supprimer toutes les sauvegardes de données trouvées. Outre Emotet et Ryuk, TrickBoat peut également combiner avec d’autres chevaux de Troie comme IdedID, ce qui permet de lancer des attaques encore plus ciblées et tout aussi dangereuses.
Comment lutter contre un cheval de Troie bancaire ?
Pour lutter contre un cheval de Troie bancaire, il faut d’abord le détecter, et c’est là toute la subtilité du TrickBot : sa capacité à se rendre quasi invisible, virtuellement indétectable. La vigilance est donc de mise. Cela étant dit, certains signes peuvent laisser supposer une infection par le malware. C’est notamment le cas des tentatives de connexion non autorisées à un compte en ligne, ou encore un virement bancaire effectué à l’insu de la victime. Comment se protéger en cas d’attaque par un cheval de Troie bancaire ? La première chose à faire, à titre préventif, est d’utiliser un analyseur de chevaux de Troie ou un logiciel antivirus performant. Toujours au rayon prévention, faites particulièrement attention en ouvrant vos spams, particulièrement les éventuelles pièces jointes, et veillez à ce que tous vos logiciels soient constamment à jour. De plus, tâchez de ne faire confiance qu’aux fournisseurs de logiciels officiels et de ne pas accepter les modules complémentaires lorsque vous téléchargez. Enfin, parce que le risque d’infection par un cheval de Troie existe toujours, même si vous respectez les principes de prévention, il est essentiel de sauvegarder régulièrement vos données pour éviter de les perdre définitivement.