Le 12 octobre 2020, une coalition d’entreprises de cybersécurité menée par Microsoft frappait le réseau TrickBot, dans l’espoir, si ce n’est de le réduire à néant, d’au moins l’affaiblir considérablement. Plus de trois mois plus tard, Menlo Security vient d’identifier une campagne de phishing destinée à déployer le célèbre malware. Plusieurs détails techniques l’indiquent : TrickBot est de retour.

Le nom « TrickBot » était inévitable pendant l’année 2020 : il désigne un botnet — un ensemble de milliers d’appareils infectés que les cybercriminels peuvent contrôler à leur guise –, un malware voleur d’identifiants, et l’organisation cybercriminelle qui contrôle le tout. Impliqué dans les campagnes de phishing lié au Covid, TrickBot est aussi devenu un des principaux partenaires des gangs qui opèrent les rançongiciels. Le malware servait d’éclaireur dans le réseau de l’entreprise, et ouvrait la porte au rançongiciel, avec des conséquences désastreuses pour la victime.

xboxbouttons.jpg

Malgré plusieurs serveurs de commandes coupés, le botnet TrickBot a survécu. // Source : Hercule sur Disney+

C’est cette implication dans la grande cybercriminalité qui a valu à TrickBot l’attention de Microsoft et ses partenaires. La coalition était parvenue à saisir 120 des 128 serveurs de commande du botnet grâce à une décision de justice inédite. Avec trop peu de têtes pour tous les diriger, une partie des milliers d’appareils infectés devenaient inutiles, et le botnet perdait en puissance. Mais dès le mois suivant, en amont de l’élection présidentielle américaine, le FBI s’inquiétait de résidus de son activité. Les cybercriminels avaient déjà réussi à remettre la main sur une partie de leur réseau, et l’exploitaient dans une cyberattaque contre des établissements de santé américains.

Un retour à petite échelle

La campagne de phishing détectée par Menlo Security marque un retour plutôt discret de TrickBot. La taille de sa cible est limitée : elle vise exclusivement des entreprises du secteur juridique et de l’assurance, situées en Amérique du Nord. L’email frauduleux contient un lien vers un site contrôlé par les malfrats, sur lequel ils tentent de faire télécharger un fichier JavaScript à leur victime.

Pour y parvenir, ils prétendent qu’il s’agit d’un document légal relatif à une infraction (fictive, en réalité), de leur cible. Si dans un vent de panique, la victime clique, les cybercriminels referment leur piège. Une fois sur l’ordinateur, ce fichier va appeler un serveur de commande pour télécharger TrickBot, et ce dernier sera capable d’extraire un large nombre d’identifiants. Les malfaiteurs pourront ensuite les utiliser pour de l’espionnage par exemple, ou les revendre à d’autres cybercriminels.

Les opérateurs de TrickBot semblent donc déterminés à poursuivre leur investissement dans leur malware, plutôt qu’à démarrer un nouveau projet. Mais ils devront continuer à se reconstruire avant d’atteindre leur grandeur passée, et donc passer entre les filets des autorités. Leur dernier coup d’éclat en date a mené au démantèlement d’un autre célèbre botnet, Emotet. Et cette fois, la police a déjà programmé le nettoyage des appareils infectés, ce qui rendrait une renaissance similaire à TrickBot encore plus compliquée.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !