Les créateurs du TrickBot ont une fois de plus mis à jour leur malware avec de nouvelles fonctionnalités et peuvent désormais cibler les appareils Linux via son nouvel outil de commande et de contrôle DNS Anchor_DNS.
Alors que TrickBot a commencé à l'origine comme un cheval de Troie bancaire, le logiciel malveillant a évolué pour effectuer d'autres comportements malveillants, notamment se propager latéralement à travers un réseau, voler les informations d'identification enregistrées dans les navigateurs, voler des cookies, vérifier la résolution d'écran d'un appareil et infecter désormais Linux ainsi que les appareils Windows.
TrickBot est également un programme malveillant en tant que service et les cybercriminels en louent l'accès afin d'infiltrer les réseaux et de voler des données précieuses. Une fois cela fait, ils l'utilisent ensuite pour déployer ransomwares tels que Ryuk et Conti afin de crypter les appareils sur le réseau comme étape finale de leur attaque.
À la fin de l'année dernière, SentinelOne et NTT ont signalé qu'un nouveau framework TrickBot appelé anchor utilise DNS pour communiquer avec ses serveurs C&C. Anchor_DNS est utilisé pour lancer des attaques contre des cibles de grande valeur et à fort impact qui possèdent des informations financières précieuses. Le TrickBot Anchor peut également être utilisé comme porte dérobée dans les campagnes de type APT qui ciblent à la fois les points de vente et les systèmes financiers.
Sommaire
Anchor_DNS
Jusqu'à présent, Anchor était un malware Windows mais un chercheur en sécurité de niveau 2 Waylon Grange découvert un nouvel exemple qui montre qu'Anchor_DNS a été porté vers une nouvelle version de porte dérobée Linux appelée «Anchor_Linux».
En plus d'agir comme une porte dérobée pouvant être utilisée pour supprimer et exécuter des logiciels malveillants sur des appareils Linux, le logiciel malveillant contient également un exécutable Windows TrickBot intégré qui peut être utilisé pour infecter les machines Windows sur le même réseau.
Une fois copié sur un appareil Windows, Anchor_Linux se configure alors comme un service Windows. Après configuration, le malware est lancé sur l'hôte Windows et se reconnecte au serveur C&C d'un attaquant où il reçoit des commandes à exécuter.
Le fait que TrickBot ait été porté sur Linux est particulièrement inquiétant car de nombreux appareils IoT, notamment les routeurs, les appareils VPN et les appareils NAS, fonctionnent sous Linux. Les utilisateurs Linux concernés peuvent savoir s'ils ont été infectés en recherchant un fichier journal dans /tmp/anchor.log sur leurs systèmes. Si ce fichier est trouvé, les utilisateurs doivent effectuer un audit complet de leurs systèmes pour rechercher le malware Anchor_Linux.
Via BleepingComputer
