Trojan Banker

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86905
Inscription : 10 sept. 2005 13:57
Contact :

Trojan Banker

Message par Malekal_morte » 07 avr. 2017 09:19

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86905
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Banker - NukeBot

Message par Malekal_morte » 07 avr. 2017 09:27

NukeBot est un Trojan Banker qui permet d'effectuer des webinjection afin de voler des informations depuis lesn avigateurs WEB.
NukeBot se présente sous la forme d'un fichier DLL qui injecte explorer.exe
Cela permet ensuite de contrôler l'ouverture des processus des navigateur WEB.
nukebot_admincns.png
NukeBot Web admin panel
D'après SecurityIntelligence.com, le code source de Nukebot a été publié, et pourrait être utilisé par d'autres acteurs.
L'auteur de Nukebot aurait eu des tensions avec un autre auteur de Trojan Banker (FlokiBot) sur un forum pour des vols et copies de son malware.

Etude de NukeBot par Arbor : https://www.arbornetworks.com/blog/aser ... clear-bot/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86905
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Banker et Neverquest

Message par Malekal_morte » 07 mai 2017 13:43

Un article sur Security Intelligence concernant des arrestations et la chut du Trojan Banker Neverquest : Neverquest Gang Takes Leave — Is It the End of the Quest?

En Janvier 2017, un Russe de 32 ans, Stanislav Lisov, a été arreté en Espagne.
Ce dernier est lié au Trojan Neverquest qui se plaçait second dans le top des Trojan Banker après Dridex.
Le Trojan Neverquest est divisé en plusieurs botnet, fonctionnant avec des fichiers de configuration afin de pouvoir viser plusieurs banques et méthodes pour dérober des informations sur les ordinateurs infectés.

Neverquest étant aussi présent et bien classé dans le top 10 des Trojan Banker en 2017.
Trojan-Banker-top-10.png
Le top 10 des Trojan Banker les plus actifs
En Avril 2017, le cheval de troie Neverquest tombe au fond du classement.
Trojan-Banker-top-10-2.png
Le top 10 des Trojan Banker les plus actifs
Cela permet de faire de la place pour le Trojan Sphinx, une variante de Zeus, qui actuellement vise des banques canadiennes.
Zeus-Sphinx-Trojan.png
Sphinx Trojan émergement.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86905
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Banker - TrickBot

Message par Malekal_morte » 07 mai 2017 13:57

TrickBot est un nouveau Trojan Banker qui fait aussi parlé de lui.
Ce dernier étant devenu particulièrement actif en Avril 2017.
Il s'agit d'un Trojan assez similaire au Trojan Dyre, après l'arrestation de la plupart du groupe relative à Dyre.
trickbot_distribution.png
Le Trojan Banker TrickBot - Distribution
Toutefois, TrickBot ne représente actuellement que 3% de la répartition des Trojan Banker, loin derrière Zeus, Gozi, Ramnit et Dridex.
trickbot_distribution-2.png
Le Trojan Banker TrickBot - Distribution
Parmi les pays ciblés, la Grande-Bretagne et l'Australie représente plus de 60%.
La France se place à la 9e place avec 1%.
trickbot_distribution-3.png
Le Trojan Banker TrickBot - Distribution
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86905
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Banker

Message par Malekal_morte » 09 juin 2017 16:48

Le message précédent signalé que les campagnes Trickbot reprenaient, une vague vise actuellement la France.
Nous vous rappelons que TrickBot est un des multiples Trojan.Banker capable en outre de voler des données sur l'ordinateur infecté mais aussi de tenter de récupérer des comptes bancaires.


Une campagne de mails malveillants en français.
Ces derniers se font passer pour des factures.
Trickbot-Trojan-Stealer-Email-Factures.png
Trickbot par de fausses emails de factures

!
Les mails vérolés sont en langue française et reprennent des mails existants
La fausse facture au format zip, renferme un script VBS qui permet de télécharger et exécuter le Trojan.Trickbot.
Ces procédés ne sont pas nouveaux et devenus très courants depuis fin 2015 avec les ransomwares.

-> Comment se protéger des scripts malicieux sur Windows
Trickbot-Trojan-Stealer-Email-Factures-2.png
Trickbot par de fausses emails de factures
Le Trojan.Trickbot injecte svchost.exe pour lancer des instances de ce dernier.
Le point de chargement est une Tâche planifiée :
Task: {148FF31E-08B8-4D62-940E-7F575A711032} - System32\Tasks\services update => C:\Users\VincentPC\AppData\Roaming\cxVyuXG1.exe [2017-06-09] () <==== ATTENTION
Trickbot-Trojan-Stealer-Email-Factures-3.png
Trickbot par de fausses emails de factures
Les détections VirusTotal

Code : Tout sélectionner

SHA256:	e7e4903ad38c1de9e7314e5cde375fe2d76c898a985fd205ffadc8f816af0ba0
Nom du fichier :	cxVyuXG1.exe
Ratio de détection :	22 / 61
Date d'analyse :	2017-06-09 12:24:20 UTC (il y a 2 heures, 1 minute) 

Antivirus	Résultat	Mise à jour
Ad-Aware	Gen:Trojan.Brresmon.Gen.1	20170609
AegisLab	Tspy.Hpemotet.Sme!c	20170609
Baidu	Win32.Trojan.WisdomEyes.16070401.9500.9946	20170608
BitDefender	Gen:Trojan.Brresmon.Gen.1	20170609
CrowdStrike Falcon (ML)	malicious_confidence_79% (W)	20170420
DrWeb	Trojan.MulDrop6.52550	20170609
Emsisoft	Gen:Trojan.Brresmon.Gen.1 (B)	20170609
Endgame	malicious (high confidence)	20170515
ESET-NOD32	a variant of Win32/Kryptik.FTDV	20170609
F-Secure	Gen:Trojan.Brresmon.Gen.1	20170609
GData	Gen:Trojan.Brresmon.Gen.1	20170609
Ikarus	Win32.Outbreak	20170609
Invincea	heuristic	20170607
Kaspersky	UDS:DangerousObject.Multi.Generic	20170609
Palo Alto Networks (Known Signatures)	generic.ml	20170609
Rising	Malware.Obscure/Heur!1.9E03 (cloud:EKMhSbGtQxU)	20170609
SentinelOne (Static ML)	static engine - malicious	20170516
Tencent	Win32.Trojan.Inject.Auto	20170609
TrendMicro	TSPY_HPEMOTET.SME	20170609
TrendMicro-HouseCall	TSPY_HPEMOTET.SME	20170609
Webroot	W32.Trojan.Gen	20170609
ZoneAlarm by Check Point	UDS:DangerousObject.Multi.Generic	20170609

Code : Tout sélectionner

SHA256:	8a981f4ac76a854bbfb87dbf674edb35c731200f19e520e45ac725da38baeaa5
Nom du fichier :	cxVyuXG1.exe
Ratio de détection :	11 / 60
Date d'analyse :	2017-06-09 14:14:38 UTC (il y a 1 minute) 

Antivirus	Résultat	Mise à jour
Avira (no cloud)	TR/Crypt.ZPACK.psvee	20170609
CrowdStrike Falcon (ML)	malicious_confidence_100% (D)	20170420
Endgame	malicious (high confidence)	20170515
ESET-NOD32	Win32/TrickBot.O	20170609
Invincea	heuristic	20170607
Kaspersky	Trojan-Dropper.Win32.Agent.bjstix	20170609
Qihoo-360	HEUR/QVM20.1.B5C4.Malware.Gen	20170609
SentinelOne (Static ML)	static engine - malicious	20170516
Symantec	ML.Attribute.HighConfidence	20170609
Webroot	Trojan.Dropper.Gen	20170609
ZoneAlarm by Check Point	Trojan-Dropper.Win32.Agent.bjstix	20170609
EDIT - et le fichier de config de TrickBot qui vise les banques FR.
Source : https://twitter.com/tmmalanalyst/status ... 0063984642
Trickbot-config-files-banque-FR.jpg
Trickbot vise les banques FR
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86905
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Banker

Message par Malekal_morte » 15 sept. 2017 13:55

Trickbot continue d'évoluer, des modules "worm" ont été ajoutés.
Il s'agit bien entendu d'exploiter la vulnérabilité ETERNALBLUE SMB.
trojan-trickbot-worm.png
Le Trojan Trickbot évolue en version worm
Un service Windows TechnicalSvc est ajouté avec les fichiers :
%SystemDrive%\techsvc.exe
%SystemRoot%\system32\techsvc.exe
Parmi les modules, on trouve un testWorm :
trickbot-module.png
Le Trojan Trickbot évolue en version worm
source : https://twitter.com/GossiTheDog/status/ ... 1313020928
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités