TrickBot

La plate-forme de logiciels malveillants Anchor de TrickBot a été portée pour infecter les appareils Linux et compromettre d’autres cibles à fort impact et de grande valeur en utilisant des canaux secrets.

TrickBot est une plate-forme de logiciels malveillants Windows polyvalente qui utilise différents modules pour effectuer diverses activités malveillantes, notamment le vol d’informations, le vol de mots de passe, l’infiltration de domaine Windows et la livraison de logiciels malveillants.

TrickBot est loué par des acteurs de la menace qui l’utilisent pour infiltrer un réseau et récolter tout ce qui a de la valeur. Il est ensuite utilisé pour déployer des ransomwares tels que Ryuk et Conti pour crypter les appareils du réseau en guise d’attaque finale.

À la fin de 2019, SentinelOne et NTT ont signalé un nouveau framework TrickBot appelé Anchor qui utilise DNS pour communiquer avec ses serveurs de commande et de contrôle.

Cadre Anchor de TrickBot
Source: SentinelOne

Nommé Anchor_DNS, le logiciel malveillant est utilisé sur des cibles de grande valeur et à fort impact avec des informations financières précieuses.

En plus des déploiements de ransomwares via les infections Anchor, les acteurs de TrickBot Anchor l’utilisent également comme porte dérobée dans des campagnes de type APT qui ciblent les points de vente et les systèmes financiers.

Le malware de porte dérobée Anchor de TrickBot est porté sur Linux

Historiquement, Anchor était un malware Windows. Récemment, un nouvel exemple a été découvert par Waylon Grange, chercheur en sécurité à l’étape 2, qui montre qu’Anchor_DNS a été porté vers une nouvelle version de porte dérobée Linux appelée «Anchor_Linux».

Chaîne Anchor_linux trouvée dans l'exécutable Linux x64
Chaîne Anchor_Linux trouvée dans l’exécutable Linux x64
Source: Waylon Grange

Vitali Kremez d’Intel avancé a également analysé le nouvel échantillon a déclaré à BleepingComputer que, une fois installé, Anchor_Linux se configurera pour s’exécuter toutes les minutes en utilisant l’entrée crontab suivante:

*/1 * * * * root [filename]
Exécutable Windows intégré
Configurer la persistance via CRON
Source: Vitali Kremez

En plus d’agir comme une porte dérobée qui peut déposer des logiciels malveillants sur le périphérique Linux et les exécuter, le logiciel malveillant contient également un Windows intégré …

Infos WEB:  En temps de crise, toutes les communautés doivent être connectées

Voir la source de cette publication