TrickBot, le cheval de Troie qui imite WannaCry et infecte les ordinateurs via SMB
Personne n’a encore oublié l’agitation générée par le désormais célèbre ransomware WannaCry , le virus qui a réussi à infecter de nombreuses entreprises dans différents pays, comme Telefónica en Espagne, des institutions publiques et même des hôpitaux. Alors que cela s’est produit en mai dernier, à la fin du mois de juin, Petya est arrivée sur les traces de WannaCry. Eh bien, maintenant c’est une nouvelle variante de Trickbot , une autre menace qui suit les traces de WannaCry et Petya mais avec quelques différences.
Nous disons qu’il suit leurs traces car TrickBot profite une fois de plus du système Windows SMB pour infecter ses victimes, ce qu’il semble également faire à nouveau de manière massive. Dans ce cas, ce cheval de Troie, dont TrickBot a été classé, profite du protocole LDAP , car il n’a pas la capacité de scanner les adresses IP externes au système SMB.
TrickBot est distribué dans un e-mail sous forme de pièce jointe qui prétend être des factures
En plus d’être un type de malware différent, dans ce cas, il ne s’agit pas d’un ransomware, le cheval de Troie bancaire est distribué via un message électronique accompagné d’une pièce jointe . Quelque chose qui semble se faire depuis l’année dernière et dont l’objectif est les institutions financières du monde entier.
Dans ce message électronique, le fichier joint qui semble être des factures, vous êtes donc encouragé à cliquer dessus pour les ouvrir. C’est à ce moment que cette nouvelle version de TrickBot entre en action alors qu’elle se faufile dans l’ordinateur et conduit les victimes à une fausse page de connexion utilisée pour voler des informations d’identification . Une fois qu’il y est arrivé, la prochaine chose à faire est de commencer à infecter tous les autres ordinateurs connectés au même réseau, afin qu’il puisse rapidement infecter tous les ordinateurs d’une banque.
Bien que le cheval de Troie bancaire n’atteigne pas les dimensions de ses prédécesseurs, Petya et surtout WannaCry, il constitue une menace majeure pour la sécurité informatique au niveau mondial et notamment dans la sphère financière ou bancaire. Par conséquent, il est conseillé d’être extrêmement prudent lors de la réception d’un e-mail d’un expéditeur qui n’est pas en notre pleine confiance et qui a des pièces jointes.
Cette nouvelle version de TrickBot peut également se déguiser en processus setup.exe et être livrée aux victimes via un script PowerShell qui ne se propage que par la communication inter-processus et télécharge le cheval de Troie sur des lecteurs partagés.