Ignorer le contenu principal

TrickBot : le botnet à plusieurs facettes

Pourquoi le botnet TrickBot est-il si dangereux ? À l’instar des chevaux de Troie ciblant les données bancaires Emotet, aujourd’hui neutralisé, et Retefe, TrickBot constitue également un danger pour votre ordinateur. TrickBot et le botnet associé au programme malveillant représentent un véritable défi pour les spécialistes de la cybersécurité.
TrickBot est utilisé depuis 2016 par les cybercriminels pour infiltrer les ordinateurs des gens dans le but d’espionner leurs données privées confidentielles. Les victimes de ces cyberattaques incluent non seulement les entreprises, mais également les particuliers. La portée et les capacités du programme malveillant ont considérablement augmenté depuis sa détection en 2016. En plus de se concentrer sur le vol de données, TrickBot est aujourd’hui en mesure de modifier le trafic réseau et de se propager en profondeur. Une fois que le programme malveillant a pénétré un système et infecté l’ordinateur, TrickBot ouvre la voie à d'autres programmes malveillants.

TrickBot est particulièrement dangereux et destructeur de par sa capacité à muter et les nombreux plug-ins qui l’accompagnent. Comme les autres chevaux de Troie, TrickBot est maître dans l'art d’opérer à l’insu de ses victimes. Seule une vigilance accrue et l'utilisation d’un logiciel de sécurité efficace comme Kaspersky Anti-Virus permettent de le détecter et de l’éliminer.

Comment le cheval de Troie TrickBot ciblant les données bancaires se propage-t-il ?

Au départ, TrickBot parvenait à infiltrer les systèmes via des emails de phishing. Cette technique implique l’envoi d’emails prétendument authentiques par des institutions et des entreprises connues, souvent accompagnés d’une pièce jointe. Les victimes d’une attaque par TrickBot sont invitées dans l’email à ouvrir la pièce jointe ou à cliquer sur le lien, ce qui mène à l’infection de l’appareil. L’ouverture des pièces jointes déclenche le téléchargement du programme malveillant. Une infection par TrickBot peut également survenir, par exemple, au moyen de mises à jour malveillantes ou d’un programme malveillant déjà présent sur l’appareil final. Une fois le programme malveillant installé dans l’ordinateur et capable d’enregistrer les données de l'utilisateur, l’un de ses principaux objectifs consiste à rester discret le plus longtemps possible.

Comment une attaque de TrickBot fonctionne-t-elle ?

Dans un attaque de TrickBot, les services Windows et les activités de Windows Defender ou autre logiciel antivirus sont interrompus. Différentes méthodes sont ensuite utilisées pour étendre les droits. Les droits d'administration qui en résultent peuvent ensuite être utilisés par des plug-ins supplémentaires que le programme malveillant charge automatiquement. TrickBot espionne alors le système et les réseau, puis collecte les données de l'utilisateur. Les informations collectées par le programme malveillant sont transmises à des appareils externes ou aux cybercriminels à l’origine de l'attaque.

Quelles sont les conséquences d’une attaque d’un cheval de Troie ciblant les données bancaires pour la victime et l'appareil final ?

Le virus « Win 32/TrickBot.AK » entraîne le stockage des données sans le consentement de l’utilisateur et espionne l'utilisateur de l’appareil final. Pour obtenir les données, il peut par exemple afficher de fausses boîtes de dialogue générées par le programme malveillant. TrickBot lui-même ne stocke pas d’enregistreurs de frappe et n’enregistre pas de captures d’écran. Le cheval de Troie est capable de se connecter à un serveur distant et appartient à un groupe de programmes malveillants automatisés appelé botnet. TrickBot n’affecte pas les performances de l’ordinateur portable et ne provoque pas l’absence de réactivité aux commandes, mais peut être à l’origine d’une attaque DDoS (déni de service distribué). Dans un tel cas, un grand nombre de demandes ciblées émanant de multiples ordinateurs entraîne l’interruption d’un service. Parmi les autres capacités du programme malveillant TrickBot figurent le téléchargement de programmes malveillants sur des ordinateurs infectés, la propagation et la création de points d'attaque pour les cybercriminels.

Détection de TrickBot et élimination des chevaux de Troie ciblant les données bancaires

Pour détecter une infection par TrickBot, faites preuve de vigilance. Des tentatives de connexion non autorisées à des comptes en ligne peuvent signaler une infection. Les victimes d’une attaque sont parfois alertées par une modification de l’infrastructure réseau. Un virement bancaire exécuté à votre insu peut également représenter un indicateur ultime et fatal d’une infection par le programme malveillant. Le programme malveillant peut se faire passer pour un processus informatique légitime ou un fichier ordinaire. Cela le rend virtuellement indétectable et la suppression de fichiers à l'aspect douteux peut causer des dégâts considérables sur l’ordinateur. TrickBot étant un cheval de Troie voleur de données, les dommages doivent être réparés le plus vite possible. Les produits de protection contre les programmes malveillants comme les solutions Kaspersky constituent le moyen optimal d'y parvenir La détection d'une infection par TrickBot et la suppression du cheval de Troie ciblant les données bancaires sont toutes deux extrêmement chronophages.

Collecte d’identifiants et compagnie : les conséquences d’une attaque par TrickBot

Comme mentionné précédemment, TrickBot vise à voler des données de connexion et opère à ce titre une collecte d’identifiants. La collecte d’identifiants est une méthode utilisée par les cybercriminels sur les comptes en ligne appropriés. Au départ, les institutions financières en particulier comme les banques étaient considérées comme la cible principale du cheval de Troie TrickBot. Les cybercriminels accèdent de façon non autorisée à des comptes personnels en volant des identifiants privés. Ces derniers peuvent alors être utilisés pour effectuer des virements bancaires, par exemple. En plus des mots de passe et des noms d'utilisateurs, TrickBot est également capable d'accéder aux informations remplies automatiquement du navigateur, ainsi qu’à son historique et aux cookies stockés.

Conséquences types d’une attaque par TrickBot

Les victimes d'attaques par TrickBot font généralement face à des conséquences types. D’un côté, leurs comptes sont contrôlés par les cybercriminels. Une fois que les cybercriminels ont pris le contrôle, ils demandent généralement une rançon pour restituer les comptes ou les fichiers. Enfin et surtout, un ransomware peut se propager et atteindre les autres fichiers des appareils infectés.

Lutter contre TrickBot : comment vous protéger au mieux en cas d'attaque

  • Utilisez un logiciel antivirus professionnel ou un analyseur de chevaux de Troie.
  • Faites attention lorsque vous consultez vos spams. Évitez d’ouvrir les emails suspects ou à l'aspect douteux, ainsi que leurs pièces jointes. Indiquez également à vos salariés qu’ils ne doivent sous aucun prétexte autoriser l'activation des macros.
  • Les logiciels installés sur les ordinateurs doivent toujours être à jour.
  • Faites preuve de vigilance lorsque vous mettez à jours vos logiciels.
  • Privilégiez les fournisseurs de logiciels officiels au fournisseurs tiers et refusez les modules complémentaires lors du téléchargement.

Malgré d’innombrables mesures préventives, vous courez toujours le risque qu’un cheval de Troie infecte votre ordinateur. N’oubliez pas de sauvegarder régulièrement vos données.

TrickBot combiné à d'autres programmes malveillants

Emotet, TrickBot et Ryuk : une combinaison fatale pour vos données

Jamais deux sans trois : on ne pourrait pas si bien dire avec la combinaison de TrickBot, Emotet et Ryuk. La combinaison de ces trois programmes malveillants est particulièrement dangereuse. À côté, les dégâts causés par une simple attaque par TrickBot semblent tout à fait ridicules. Les trois programmes fonctionnent ensemble en toute transparence et optimisent ainsi les dégâts. Emotet opère au début de l’infection et exécute les tâches classiques d’un cheval de Troie, ouvrant ainsi la voie à TrickBot et Ryuk, et donc aux auteurs de l'attaque. À l'étape suivante, TrickBot est utilisé par les cybercriminels pour obtenir des informations sur le système infecté et le distribuer sur le réseau de façon optimale. Dernière étape : le cryptotrojan Ryuk est placé dans le plus de systèmes possible et chiffre le disque dur, en sa qualité de ransomware. En outre, toutes les sauvegardes de données trouvées sont également supprimées.

TrickBot et IcedID : le duo gagnant de chevaux de Troie ciblant les données bancaires

Ce n’est pas la seule combinaison dans laquelle TrickBot apparaît. La combinaison de TrickBot et d’IcedID est tout aussi dangereuse. La combinaison de ces deux chevaux de Troie ciblant les données bancaires est idéale pour lancer une attaque encore plus ciblée sur les données bancaires. Le programme malveillant IcedID est transmis à la victime via un spam, par exemple, puis ouvert. Cette ouverture déclenche le téléchargement du programme malveillant TrickBot. TrickBot exécute ensuite ses tâches d’espionnage habituelles et détermine quel type de fraude financière opérer.

TrickBot et Windows Defender

Pendant ce temps-là, les programmes malveillants comme TrickBot ont trouvé des moyens de contourner la détection par Windows Defender. TrickBot est particulier en ce qu’il n’est pas seulement capable d’opérer discrètement, mais va même jusqu’à désactiver entièrement Windows Defender.

Résumé

TrickBot représente une menace pour votre ordinateur en raison de son activité principale, à savoir le vol d’identifiants. Qui plus est, sa capacité à se transformer et les nombreux plug-ins qui l'accompagnent rendent sa présence désagréable sur votre appareil final. Les attaques par TrickBot sont particulièrement fatales lorsqu’elles sont doublées d’autres programmes malveillants. Ainsi, il est extrêmement important de détecter les programmes malveillants le plus rapidement possible grâce à un logiciel de sécurité haut de gamme et à une vigilance accrue. Vous éviterez ainsi des infections par d'autres programmes malveillants.

TrickBot : le botnet à plusieurs facettes

Découvrez comment vous protéger contre le cheval de Troie TrickBot ciblant les données bancaires. ✓ Identifiez TrickBot ✓ Évitez la collecte d’identifiants ✓ Éliminez le virus
Kaspersky logo