Malgré les efforts de l’industrie de la sécurité pour perturber le botnet TrickBot, ses opérateurs ont relancé des campagnes d'infection pour tenter de le faire revivre. La dernière offensive en date constatée ce mois-ci par les chercheurs, visait des cabinets d’avocats et des compagnies d’assurance. « Lors de la dernière campagne observée sur notre plateforme cloud, nous avons remarqué que les attaquants avaient utilisé un leurre intéressant pour inciter les utilisateurs à cliquer et à installer le malware Trickbot sur leur terminal », a déclaré l’entreprise de sécurité Menlo Security dans son rapport publié vendredi. « L’offensive toujours active vise exclusivement les secteurs verticaux du droit et de l'assurance en Amérique du Nord », précise le même rapport.

Le passif de TrickBot

En service depuis 2016, le botnet TrickBot est un véritable fléau pour les entreprises et les particuliers. En effet, depuis cette date, plus d'un million d'ordinateurs ont été infectés par lui. Ces dernières années, il s’est souvent retrouvé en une en raison de son lien avec Ryuk, un ransomware très sophistiqué qui a fait de nombreuses victimes. Á l’origine, TrickBot était un cheval de Troie bancaire, mais il a évolué en plate-forme de crimeware, c’est-à-dire de logiciels malveillants capables d’automatiser des actions cybercriminelles. Via la plateforme, les opérateurs de Trickbot vendaient l'accès à des ordinateurs infectés à d'autres groupes de pirates qui voulaient distribuer leurs propres malwares. L'un de ces groupes, et probablement le plus gros client de TrickBot, n’est autre que le gang à l’origine de Ryuk. C'est pour cette raison que les infections Ryuk sont souvent précédées d'une infection TrickBot. En octobre, Microsoft a intenté une action en justice pour saisir un grand nombre de noms de domaine utilisés pour exploiter les serveurs de commande et de contrôle de TrickBot. L’entreprise de Redmond a aussi collaboré avec d'autres fournisseurs de sécurité et FAI pour en prendre le contrôle. Début novembre, aucun serveur de commande et de contrôle de TrickBot n'était encore actif, mais les chercheurs ont averti que ces attaquants étaient ingénieux et qu'ils pourraient tenter de remettre sur pied le réseau de zombies.

Les détails de la dernière campagne de Trickbot

L’offensive détectée par Menlo impliquait des spams contenant une URL malveillante qui, si l'on cliquait dessus, conduisait les utilisateurs à travers une série de redirections vers une page retournant à l’utilisateur imprudent une notification automatisée l’informant de sa conduite négligente. La page comportait un bouton permettant de télécharger la prétendue preuve photographique, mais téléchargeait à son tour une archive zip contenant un fichier JavaScript malveillant. « Le JavaScript intégré est particulièrement bien caché, une « technique, tactique et procédure » (TTP) caractéristique du malware Trickbot », ont rappelé les chercheurs de Menlo Security. « Si l'utilisateur ouvre le fichier JavaScript téléchargé, une requête HTTP est envoyée au serveur de commande et de contrôle pour télécharger le binaire malveillant final ».

Les chercheurs analysent encore la charge utile elle-même pour voir si celle-ci présente des différences par rapport aux échantillons TrickBot récoltés avant le blocage de la plateforme. Pour l’instant, ils ont constaté que les URL malveillantes diffusées par courrier électronique et l’URL à partir de laquelle la charge utile est téléchargée sont difficilement détectables. L’architecture de TrickBot est très modulaire et comporte plus de deux douzaines de plug-ins connus qui permettent différentes fonctionnalités. L’an dernier, les chercheurs ont mis en garde contre une évolution inquiétante : un nouveau module permettait à TrickBot de détecter les firmwares UEFI non sécurisés et des dispositifs potentiellement « brickés » ou de déployer des portes dérobées furtives de bas niveau.

L’usage d'URL malveillantes dans les courriels est une technique de distribution quelque peu inhabituelle pour TrickBot, qui distribue généralement ses malwares sous forme pièces jointes attachées à des courriels malveillants, comme des documents Word et Excel infectés ou des fichiers Java Network Launch Protocol (.jnlp). Le malware était aussi couramment diffusé via Emotet, un autre réseau de zombies qui vient d'être interrompu cette semaine à la suite d'une opération conjointe menée par des services de police de plusieurs pays. « Quand on veut, on peut », ont conclu les chercheurs de Menlo. « Cet adage est certainement vrai pour les mauvais acteurs qui administrent Trickbot dans l’ombre. Si les actions de Microsoft et de ses partenaires sont louables et que l'activité de Trickbot a été fortement réduite, les acteurs de la menace semblent suffisamment motivés pour rétablir les opérations et tirer profit du contexte malveillant actuel ».