Trickbot est un malware modulaire qui a été observé pour la première fois en 2016. Il vole des informations système, des informations de connexion et d'autres données sensibles sur des ordinateurs Windows vulnérables.
Cependant, en novembre, des chercheurs en sécurité de Palo Alto Networks ont commencé à constater que le module de saisie de mots de passe de Trickbots avait commencé à cibler les données des applications OpenSSH et OpenVPN.
Lorsqu'un hôte Windows est infecté par Trickbot, il télécharge différents modules pour exécuter diverses fonctions. Les modules eux-mêmes sont stockés sous forme de fichiers binaires chiffrés dans un dossier situé dans le répertoire AppData Roaming du système infecté, puis ils sont décodés sous forme de fichiers DLL exécutés à partir de la mémoire système.
Pwgrab64 est un récupérateur de mot de passe utilisé par Trickbot. Ce module récupère les informations d'identification de connexion stockées dans le cache du navigateur de la victime, mais il peut également obtenir les informations de connexion d'autres applications installées sur l'hôte de la victime.
Sommaire
Cibler OpenSSH et OpenVPN
Les schémas de trafic liés aux infections récentes de Trickbot étaient relativement cohérents jusqu'en novembre, lorsque Palo Alto Networks a commencé à voir deux nouvelles requêtes HTTP POST pour des clés privées OpenSSH et des mots de passe OpenVPN et des configurations provoquées par le récupérateur de mots de passe du programme malveillant.
Heureusement, ces mises à jour du module de saisie de mots de passe de Trickbot peuvent ne pas encore être entièrement fonctionnelles, les chercheurs n'ayant pas vu de données réelles. OpenVPN contenu dans le trafic provenant du malware. Ils ont également configuré les infections Trickbot dans les environnements de laboratoire où les requêtes HTTP POST générées par le récupérateur de mot de passe pour OpenSSH et OpenVPN ne contenaient aucune donnée.
Cependant, le dispositif de saisie de mots de passe de Trickbot fonctionne effectivement et obtiendra toujours les mots de passe SSH et les clés privées d'un client SSH / Telnet nommé PuTTY.
Les modèles de trafic mis à jour découverts par Palo Alto Networks montrent que Trickbot continue d'évoluer, mais les utilisateurs peuvent éviter d'être victimes de ce programme malveillant en exécutant des versions entièrement mises à jour et corrigées de Microsoft Windows.
- Consultez également notre liste complète des meilleurs services VPN
