Le malware TrickBot revient avec de nouveaux outils sournois

0
27

Un nouvel échantillon de TrickBot a été découvert qui vérifie la résolution d'écran des machines de la victime afin de voir si le malware s'exécute à l'intérieur d'une machine virtuelle.

Afin de se protéger et de protéger leurs systèmes lors de l'analyse de logiciels malveillants, les chercheurs en sécurité le font souvent sur une machine virtuelle. En conséquence, les logiciels malveillants utilisent souvent des techniques anti-VM pour détecter s'ils s'exécutent ou non sur une machine virtuelle.

Les techniques anti-VM utilisées par les logiciels malveillants incluent la recherche de processus particuliers, de services Windows, de noms de machines et la vérification des adresses MAC des cartes réseau ou des fonctionnalités du processeur.

Si un malware détecte qu'il s'exécute effectivement sur une machine virtuelle, il arrêtera ses opérations pour éviter de donner aux chercheurs des indices supplémentaires sur son fonctionnement et sur qui l'a déployé en premier lieu.

Résolution d'écran

Maciej Kotowicz de la firme de cybersécurité MalwareLab a trouvé un nouvel échantillon du cheval de Troie TrickBot qui vérifie la résolution d'écran d'un ordinateur infecté pour déterminer s'il s'agit d'une machine virtuelle.

TrickBot a commencé comme un cheval de Troie bancaire, mais le malware a évolué pour effectuer d'autres comportements malveillants, y compris se propager latéralement à travers un réseau, voler des informations d'identification enregistrées dans les navigateurs, voler des cookies et plus encore.

Kotowicz a d'abord rendu sa découverte publique dans un Tweet dans lequel il a révélé qu'un nouvel échantillon de TrickBot vérifie les machines infectées pour voir si elles ont une résolution de 800×600 ou 1024×768. Si l'une de ces résolutions est trouvée, TrickBot cessera de fonctionner.

La raison pour laquelle le logiciel malveillant vérifie ces deux résolutions en particulier est due à la façon dont les chercheurs configurent les machines virtuelles qu'ils utilisent pour analyser les logiciels malveillants. Lors de la configuration d'une machine virtuelle, la plupart des chercheurs n'installent pas le logiciel invité VM qui leur permettrait d'utiliser des résolutions plus élevées. Sans ce logiciel installé, une machine virtuelle ne permettra généralement pas de résolutions autres que 800×600 et 1024×768.

Bien que malheureux pour les chercheurs qui étudient les logiciels malveillants, ce nouveau contrôle anti-VM est en fait assez intelligent et, espérons-le, d'autres développeurs de logiciels malveillants ne font pas de même et ajoutent cette fonctionnalité à leur logiciel malveillant.

Via BleepingComputer

Les offres de produits Hi-tech en rapport avec cet article

Laisser un commentaire