Quatre mois après que Microsoft et ses partenaires ont saisi une large partie des serveurs de contrôle de TrickBot, des chercheurs viennent de détecter son activité.

Le 12 octobre 2020, une coalition d’entreprises de cybersécurité menée par Microsoft frappait le réseau TrickBot, dans l’espoir, si ce n’est de le réduire à néant, d’au moins l’affaiblir considérablement. Plus de trois mois plus tard, Menlo Security vient d’identifier une campagne de phishing destinée à déployer le célèbre malware. Plusieurs détails techniques l’indiquent : TrickBot est de retour.

Le nom « TrickBot » était inévitable pendant l’année 2020 : il désigne un botnet — un ensemble de milliers d’appareils infectés que les cybercriminels peuvent contrôler à leur guise –, un malware voleur d’identifiants, et l’organisation cybercriminelle qui contrôle le tout. Impliqué dans les campagnes de phishing lié au Covid, TrickBot est aussi devenu un des principaux partenaires des gangs qui opèrent les rançongiciels. Le malware servait d’éclaireur dans le réseau de l’entreprise, et ouvrait la porte au rançongiciel, avec des conséquences désastreuses pour la victime.

Malgré plusieurs serveurs de commandes coupés, le botnet TrickBot a survécu. // Source : Hercule sur Disney+

C’est cette implication dans la grande cybercriminalité qui a valu à TrickBot l’attention de Microsoft et ses partenaires. La coalition était parvenue à saisir 120 des 128 serveurs de commande du botnet grâce à une décision de justice inédite. Avec trop peu de têtes pour tous les diriger, une partie des milliers d’appareils infectés devenaient inutiles, et le botnet perdait en puissance. Mais dès le mois suivant, en amont de l’élection présidentielle américaine, le FBI s’inquiétait de résidus de son activité. Les cybercriminels avaient déjà réussi à remettre la main sur une partie de leur réseau, et l’exploitaient dans une cyberattaque contre des établissements de santé américains.

Un retour à petite échelle

La campagne de phishing détectée par Menlo Security marque un retour plutôt discret de TrickBot. La taille de sa cible est limitée : elle vise exclusivement des entreprises du secteur juridique et de l’assurance, situées en Amérique du Nord. L’email frauduleux contient un lien vers un site contrôlé par les malfrats, sur lequel ils tentent de faire télécharger un fichier JavaScript à leur victime.

Pour y parvenir, ils prétendent qu’il s’agit d’un document légal relatif à une infraction (fictive, en réalité), de leur cible. Si dans un vent de panique, la victime clique, les cybercriminels referment leur piège. Une fois sur l’ordinateur, ce fichier va appeler un serveur de commande pour télécharger TrickBot, et ce dernier sera capable d’extraire un large nombre d’identifiants. Les malfaiteurs pourront ensuite les utiliser pour de l’espionnage par exemple, ou les revendre à d’autres cybercriminels.

Les opérateurs de TrickBot semblent donc déterminés à poursuivre leur investissement dans leur malware, plutôt qu’à démarrer un nouveau projet. Mais ils devront continuer à se reconstruire avant d’atteindre leur grandeur passée, et donc passer entre les filets des autorités. Leur dernier coup d’éclat en date a mené au démantèlement d’un autre célèbre botnet, Emotet. Et cette fois, la police a déjà programmé le nettoyage des appareils infectés, ce qui rendrait une renaissance similaire à TrickBot encore plus compliquée.

Crédit photo de la une : Pokemon

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux