La dernière version de TrickBot avertit ses victimes qu'il est en train de leur voler leurs mots de passe. Les chercheurs à l'origine de la découverte supposent qu'il s'agit d'une version de test déployée par erreur.

Alors qu’il naviguait sur Firefox, un message (en anglais) s’est affiché sur l’écran de cet utilisateur de Reddit : « Attention. Vous voyez ce message parce qu’un programme appelé ‘grabber’ a réuni des informations sur votre navigateur. Si vous ne savez pas ce qu’il se passe, vous devriez commencer à vous inquiéter. S’il vous plaît, demandez des détails à l’administrateur de votre système. » L’utilisateur a préféré se tourner vers le forum r/cybersecurity pour demander «  De quoi s’agit-il ? Que devrais-je faire ? ».

Si vous êtes averti au sujet d’un virus, essayez votre antivirus avant d’envoyer un message sur Reddit. // Source : Reddit

Et bien, u/Punkmate (le pseudo de cette personne), vous êtes infecté par TrickBot, un malware aussi célèbre que puissant. Heureusement, cette version, mise en lumière par l’entreprise Advanced Intelligence a un gros défaut : elle prévient les victimes qu’elles sont infectées. Elles peuvent ainsi réagir en conséquence.

Vitali Kremer, le directeur de la recherche suppose avec une « grande confiance » que ce message de prévention était un module utilisé pendant la phase de test du malware. Les développeurs du logiciel malveillant l’auraient donc déployé par inadvertance. Un comble pour un malware dont la force est d’exécuter toutes sortes de commandes de façon discrète.

Attention, je vous vole vos mots de passe

Si les cybercriminels ont fait une bête erreur d’inattention, ils sont loin d’être des amateurs. TrickBot est un malware pour Windows particulièrement virulent, capable de dérober en toute discrétion les mots de passe stockés sur votre navigateur (Chrome, Edge, Explorer, Firefox) ainsi que vos cookies, en plus de récupérer les informations de l’Active Directory. Cet outil de Windows permet aux administrateurs de gérer l’organisation du réseau, et il donne accès à toutes sortes d’informations essentielles et de fonctionnalités essentielles.

Si un ordinateur est infecté, d’autres le sont

Les versions les plus avancées du malware vont jusqu’à ouvrir l’accès au réseau de la victime à des rançongiciels, qui vont chiffrer les données et paralyser l’ordinateur du particulier ou le réseau de l’entreprise selon les cas.

Pour compléter son profil malveillant, TrickBot est particulièrement contagieux. La contamination initiale se fait le plus souvent par un phishing, mais les malfaiteurs exploitent aussi des vulnérabilités comme Eternal Blue. Une fois qu’il a contaminé un ordinateur, il peut aussi se répandre par le réseau interne de l’entreprise. Bref : si un ordinateur est infecté par TrickBot, il n’est probablement pas le seul.

Faites une désinfection méthodique

Le message laissé par erreur par le malware avertit au sujet du « grabber » (littéralement, « l’attrapeur »). C’est le nom du module de vol de mots de passe et de cookie de TrickBot. Grâce à ces informations, les cybercriminels pourront se connecter sur vos comptes pour collecter d’autres informations (qu’ils revendront ou exploiteront), ou effectuer des achats contre votre gré. Différents services de cybersécurité, comme Advanced Intelligence ou MalwareBytes conseillent d’opérer en plusieurs étapes :

  • Identifier les ordinateurs infectés ;
  • Déconnecter ces ordinateurs du réseau interrompre la propagation ;
  • Scanner l’ordinateur avec un antivirus pour identifier et supprimer TrickBot ;
  • Changer tous les mots de passe.

Ce processus peut être long — et donc coûter cher — à certaines entreprises. Mais en avertissant lui-même de l’infection, la version défectueuse de TrickBot va permettre aux victimes de réagir rapidement.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux