En octobre dernier, une coalition de sociétés de cybersécurité est parvenue à renverser partiellement l’infrastructure à l’origine du virus Trickbot. Malheureusement, l’accalmie fut de courte durée, car le logiciel malveillant semble déjà être de retour.
Les chercheurs de l’entreprise spécialisée Menlo Security indiquent en effet avoir découvert les traces caractéristiques du logiciel malveillant au sein d’une nouvelle campagne de phishing.
Le virus se cache au sein d’un fichier joint à un mail affirmant que son destinataire a commis une infraction. Les hackers jouent sur la peur et l’urgence pour que leurs cibles ouvrent le document sans vérifier l’authenticité du mail et permettent ainsi au logiciel malveillant de s’installer sur leur appareil. Une fois ouvert, le fichier corrompu va en effet se connecter au serveur de commande pour télécharger Trickbot.
Le logiciel malveillant va alors récupérer les identifiants enregistrés sur la machine et revendre les informations volées ou les utiliser pour de l’espionnage.
Fort heureusement, la nouvelle campagne de phishing reposant sur Trickbot est assez restreinte pour l’instant, suite au démantèlement d’une partie de ses serveurs, mais il pourrait prochainement retrouver sa taille d’antan.
Une campagne malveillante sur fond du coronavirus
À l’origine, Trickbot était un simple cheval de Troie, mais au cours de son existence, il a évolué pour devenir ce qu’on appelle un botnet. Il s’agit d’un ensemble de milliers d’appareils infectés que les hackers peuvent utiliser à distance pour attaquer et prendre le contrôle d’autres machines. Après quoi, ils peuvent installer d’autres logiciels malveillants sur les appareils infectés, dont des ransomwares.
Le botnet a été particulièrement actif au cours de l’année 2020, surfant sur la pandémie de coronavirus pour tromper ses victimes et infecter leurs machines. Il était surtout utilisé pour infiltrer le réseau d’entreprises, afin d’en bloquer l’accès et de demander des rançons.
Particulièrement actif en 2020, il a attiré l’attention de Microsoft et de ses partenaires. Ces derniers ont alors mis tout en œuvre pour lui nuire. C’est ainsi que 120 de ses 128 serveurs de commandes du botnet ont été saisis par décision de justice en octobre dernier. Malheureusement, cela n’a pas été suffisant. Dès le mois de novembre, le FBI a repéré des résidus de son activité, comme le rapporte Numerama. Des hackers sont en effet parvenus à remettre la main sur une partie de son réseau et à l’exploiter.
C’est ainsi que la nouvelle campagne de phishing reposant sur ce botnet a vu le jour et continue encore aujourd’hui de se déployer. Dans son rapport, Menlo Security indique que le retour de Trickbot est pour l’instant limité, de même que l’ampleur de la campagne de phishing qui vise avant tout les entreprises américaines du secteur juridique et de l’assurance. Mais il vaut mieux redoubler de prudence et se méfier des mails provenant d’expéditeurs inconnus, et ce, même s’ils demandent une réponse ou une action urgente.
GEEKO