Trojan Banker

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Trojan Banker

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Trojan Banker - NukeBot

par Malekal_morte »

NukeBot est un Trojan Banker qui permet d'effectuer des webinjection afin de voler des informations depuis lesn avigateurs WEB.
NukeBot se présente sous la forme d'un fichier DLL qui injecte explorer.exe
Cela permet ensuite de contrôler l'ouverture des processus des navigateur WEB.
nukebot_admincns.png
D'après SecurityIntelligence.com, le code source de Nukebot a été publié, et pourrait être utilisé par d'autres acteurs.
L'auteur de Nukebot aurait eu des tensions avec un autre auteur de Trojan Banker (FlokiBot) sur un forum pour des vols et copies de son malware.

Etude de NukeBot par Arbor : https://www.arbornetworks.com/blog/aser ... clear-bot/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Trojan Banker et Neverquest

par Malekal_morte »

Un article sur Security Intelligence concernant des arrestations et la chut du Trojan Banker Neverquest : Neverquest Gang Takes Leave — Is It the End of the Quest?

En Janvier 2017, un Russe de 32 ans, Stanislav Lisov, a été arreté en Espagne.
Ce dernier est lié au Trojan Neverquest qui se plaçait second dans le top des Trojan Banker après Dridex.
Le Trojan Neverquest est divisé en plusieurs botnet, fonctionnant avec des fichiers de configuration afin de pouvoir viser plusieurs banques et méthodes pour dérober des informations sur les ordinateurs infectés.

Neverquest étant aussi présent et bien classé dans le top 10 des Trojan Banker en 2017.
Trojan-Banker-top-10.png
En Avril 2017, le cheval de troie Neverquest tombe au fond du classement.
Trojan-Banker-top-10-2.png
Cela permet de faire de la place pour le Trojan Sphinx, une variante de Zeus, qui actuellement vise des banques canadiennes.
Zeus-Sphinx-Trojan.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Trojan Banker - TrickBot

par Malekal_morte »

TrickBot est un nouveau Trojan Banker qui fait aussi parlé de lui.
Ce dernier étant devenu particulièrement actif en Avril 2017.
Il s'agit d'un Trojan assez similaire au Trojan Dyre, après l'arrestation de la plupart du groupe relative à Dyre.
trickbot_distribution.png
Toutefois, TrickBot ne représente actuellement que 3% de la répartition des Trojan Banker, loin derrière Zeus, Gozi, Ramnit et Dridex.
trickbot_distribution-2.png
Parmi les pays ciblés, la Grande-Bretagne et l'Australie représente plus de 60%.
La France se place à la 9e place avec 1%.
trickbot_distribution-3.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Trojan Banker

par Malekal_morte »

Le message précédent signalé que les campagnes Trickbot reprenaient, une vague vise actuellement la France.
Nous vous rappelons que TrickBot est un des multiples Trojan.Banker capable en outre de voler des données sur l'ordinateur infecté mais aussi de tenter de récupérer des comptes bancaires.


Une campagne de mails malveillants en français.
Ces derniers se font passer pour des factures.
Trickbot-Trojan-Stealer-Email-Factures.png

!
Les mails vérolés sont en langue française et reprennent des mails existants
La fausse facture au format zip, renferme un script VBS qui permet de télécharger et exécuter le Trojan.Trickbot.
Ces procédés ne sont pas nouveaux et devenus très courants depuis fin 2015 avec les ransomwares.

-> Comment se protéger des scripts malicieux sur Windows
Trickbot-Trojan-Stealer-Email-Factures-2.png
Le Trojan.Trickbot injecte svchost.exe pour lancer des instances de ce dernier.
Le point de chargement est une Tâche planifiée :
Task: {148FF31E-08B8-4D62-940E-7F575A711032} - System32\Tasks\services update => C:\Users\VincentPC\AppData\Roaming\cxVyuXG1.exe [2017-06-09] () <==== ATTENTION
Trickbot-Trojan-Stealer-Email-Factures-3.png
Les détections VirusTotal

Code : Tout sélectionner

SHA256:	e7e4903ad38c1de9e7314e5cde375fe2d76c898a985fd205ffadc8f816af0ba0
Nom du fichier :	cxVyuXG1.exe
Ratio de détection :	22 / 61
Date d'analyse :	2017-06-09 12:24:20 UTC (il y a 2 heures, 1 minute) 

Antivirus	Résultat	Mise à jour
Ad-Aware	Gen:Trojan.Brresmon.Gen.1	20170609
AegisLab	Tspy.Hpemotet.Sme!c	20170609
Baidu	Win32.Trojan.WisdomEyes.16070401.9500.9946	20170608
BitDefender	Gen:Trojan.Brresmon.Gen.1	20170609
CrowdStrike Falcon (ML)	malicious_confidence_79% (W)	20170420
DrWeb	Trojan.MulDrop6.52550	20170609
Emsisoft	Gen:Trojan.Brresmon.Gen.1 (B)	20170609
Endgame	malicious (high confidence)	20170515
ESET-NOD32	a variant of Win32/Kryptik.FTDV	20170609
F-Secure	Gen:Trojan.Brresmon.Gen.1	20170609
GData	Gen:Trojan.Brresmon.Gen.1	20170609
Ikarus	Win32.Outbreak	20170609
Invincea	heuristic	20170607
Kaspersky	UDS:DangerousObject.Multi.Generic	20170609
Palo Alto Networks (Known Signatures)	generic.ml	20170609
Rising	Malware.Obscure/Heur!1.9E03 (cloud:EKMhSbGtQxU)	20170609
SentinelOne (Static ML)	static engine - malicious	20170516
Tencent	Win32.Trojan.Inject.Auto	20170609
TrendMicro	TSPY_HPEMOTET.SME	20170609
TrendMicro-HouseCall	TSPY_HPEMOTET.SME	20170609
Webroot	W32.Trojan.Gen	20170609
ZoneAlarm by Check Point	UDS:DangerousObject.Multi.Generic	20170609

Code : Tout sélectionner

SHA256:	8a981f4ac76a854bbfb87dbf674edb35c731200f19e520e45ac725da38baeaa5
Nom du fichier :	cxVyuXG1.exe
Ratio de détection :	11 / 60
Date d'analyse :	2017-06-09 14:14:38 UTC (il y a 1 minute) 

Antivirus	Résultat	Mise à jour
Avira (no cloud)	TR/Crypt.ZPACK.psvee	20170609
CrowdStrike Falcon (ML)	malicious_confidence_100% (D)	20170420
Endgame	malicious (high confidence)	20170515
ESET-NOD32	Win32/TrickBot.O	20170609
Invincea	heuristic	20170607
Kaspersky	Trojan-Dropper.Win32.Agent.bjstix	20170609
Qihoo-360	HEUR/QVM20.1.B5C4.Malware.Gen	20170609
SentinelOne (Static ML)	static engine - malicious	20170516
Symantec	ML.Attribute.HighConfidence	20170609
Webroot	Trojan.Dropper.Gen	20170609
ZoneAlarm by Check Point	Trojan-Dropper.Win32.Agent.bjstix	20170609
EDIT - et le fichier de config de TrickBot qui vise les banques FR.
Source : https://twitter.com/tmmalanalyst/status ... 0063984642
Trickbot-config-files-banque-FR.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Trojan Banker

par Malekal_morte »

Trickbot continue d'évoluer, des modules "worm" ont été ajoutés.
Il s'agit bien entendu d'exploiter la vulnérabilité ETERNALBLUE SMB.
trojan-trickbot-worm.png
Un service Windows TechnicalSvc est ajouté avec les fichiers :
%SystemDrive%\techsvc.exe
%SystemRoot%\system32\techsvc.exe
Parmi les modules, on trouve un testWorm :
trickbot-module.png
source : https://twitter.com/GossiTheDog/status/ ... 1313020928
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Trojan Banker - Trickbot

par Malekal_morte »

Un autre article lié au Trojan Trickbot avec l'infrastructure de communication du malware.
Ce dernier communique notamment avec un serveur et possède des modules pour ajouter de nouvelles fonctionnalités au Trojan.

Le malware est installé sur l'ordinateur à travers des campagnes de mails malveillants, le mail malveillant vise à télécharger et exécuter le payload sur l'ordinateur.
Un module de proxy / SOCK5 qui permet la connexion au serveur de contrôle est ensuite télécharger. C'est ce module qui va permettre de voler les identifiants des sites consultés.
trickbot-2.png

Trickbot vise de multiples sites comme les sites de banques, paypal, site adultes, médias sociaux, etc.

trickbot.png
source : https://www.flashpoint-intel.com/blog/t ... ack-model/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116544
Inscription : 10 sept. 2005 13:57

Re: Trojan Banker

par Malekal_morte »

Une analyse complète du Trojan Banker Gozi par Talos : https://blog.talosintelligence.com/2018 ... -2018.html

La distribution se fait par des mails malveillant avec des documents Word.
Rien de vraiment nouveau.
Le botnet a l'origine des spam se nomme "Dark Cloud".
Des hébergeurs bulletproof sont utilisés (ils hébergent du contenu malveillant sans répondre aux demandes de fermetures).
Ce botnet hébergent des sites de carding, adultes et est utilisés pour des infrastructures liéx aux malwares Gozi ISFB et Nymaim
Afin de rendre les suivi plus difficile, ce botnet utilisent du fast flux DNS, et changent environ 12 fois d'IPs par heure.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »