Quelques actualités générales ou mineures autour des Trojans Banker.
Je rappelle qu'il existe un dossier sur ce type de menaces : Les Trojan Banker : vol de compte bancaire.
Les liens d'actus autour de quelques Trojan Banker :
Trojan Banker
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Trojan Banker
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: Trojan Banker - NukeBot
NukeBot est un Trojan Banker qui permet d'effectuer des webinjection afin de voler des informations depuis lesn avigateurs WEB.
NukeBot se présente sous la forme d'un fichier DLL qui injecte explorer.exe
Cela permet ensuite de contrôler l'ouverture des processus des navigateur WEB.
D'après SecurityIntelligence.com, le code source de Nukebot a été publié, et pourrait être utilisé par d'autres acteurs.
L'auteur de Nukebot aurait eu des tensions avec un autre auteur de Trojan Banker (FlokiBot) sur un forum pour des vols et copies de son malware.
Etude de NukeBot par Arbor : https://www.arbornetworks.com/blog/aser ... clear-bot/
NukeBot se présente sous la forme d'un fichier DLL qui injecte explorer.exe
Cela permet ensuite de contrôler l'ouverture des processus des navigateur WEB.
D'après SecurityIntelligence.com, le code source de Nukebot a été publié, et pourrait être utilisé par d'autres acteurs.
L'auteur de Nukebot aurait eu des tensions avec un autre auteur de Trojan Banker (FlokiBot) sur un forum pour des vols et copies de son malware.
Etude de NukeBot par Arbor : https://www.arbornetworks.com/blog/aser ... clear-bot/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: Trojan Banker et Neverquest
Un article sur Security Intelligence concernant des arrestations et la chut du Trojan Banker Neverquest : Neverquest Gang Takes Leave — Is It the End of the Quest?
En Janvier 2017, un Russe de 32 ans, Stanislav Lisov, a été arreté en Espagne.
Ce dernier est lié au Trojan Neverquest qui se plaçait second dans le top des Trojan Banker après Dridex.
Le Trojan Neverquest est divisé en plusieurs botnet, fonctionnant avec des fichiers de configuration afin de pouvoir viser plusieurs banques et méthodes pour dérober des informations sur les ordinateurs infectés.
Neverquest étant aussi présent et bien classé dans le top 10 des Trojan Banker en 2017.
En Avril 2017, le cheval de troie Neverquest tombe au fond du classement.
Cela permet de faire de la place pour le Trojan Sphinx, une variante de Zeus, qui actuellement vise des banques canadiennes.
En Janvier 2017, un Russe de 32 ans, Stanislav Lisov, a été arreté en Espagne.
Ce dernier est lié au Trojan Neverquest qui se plaçait second dans le top des Trojan Banker après Dridex.
Le Trojan Neverquest est divisé en plusieurs botnet, fonctionnant avec des fichiers de configuration afin de pouvoir viser plusieurs banques et méthodes pour dérober des informations sur les ordinateurs infectés.
Neverquest étant aussi présent et bien classé dans le top 10 des Trojan Banker en 2017.
En Avril 2017, le cheval de troie Neverquest tombe au fond du classement.
Cela permet de faire de la place pour le Trojan Sphinx, une variante de Zeus, qui actuellement vise des banques canadiennes.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: Trojan Banker - TrickBot
TrickBot est un nouveau Trojan Banker qui fait aussi parlé de lui.
Ce dernier étant devenu particulièrement actif en Avril 2017.
Il s'agit d'un Trojan assez similaire au Trojan Dyre, après l'arrestation de la plupart du groupe relative à Dyre.
Toutefois, TrickBot ne représente actuellement que 3% de la répartition des Trojan Banker, loin derrière Zeus, Gozi, Ramnit et Dridex.
Parmi les pays ciblés, la Grande-Bretagne et l'Australie représente plus de 60%.
La France se place à la 9e place avec 1%.
Ce dernier étant devenu particulièrement actif en Avril 2017.
Il s'agit d'un Trojan assez similaire au Trojan Dyre, après l'arrestation de la plupart du groupe relative à Dyre.
Toutefois, TrickBot ne représente actuellement que 3% de la répartition des Trojan Banker, loin derrière Zeus, Gozi, Ramnit et Dridex.
Parmi les pays ciblés, la Grande-Bretagne et l'Australie représente plus de 60%.
La France se place à la 9e place avec 1%.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: Trojan Banker
Le message précédent signalé que les campagnes Trickbot reprenaient, une vague vise actuellement la France.
Nous vous rappelons que TrickBot est un des multiples Trojan.Banker capable en outre de voler des données sur l'ordinateur infecté mais aussi de tenter de récupérer des comptes bancaires.
Une campagne de mails malveillants en français.
Ces derniers se font passer pour des factures.
La fausse facture au format zip, renferme un script VBS qui permet de télécharger et exécuter le Trojan.Trickbot.
Ces procédés ne sont pas nouveaux et devenus très courants depuis fin 2015 avec les ransomwares.
-> Comment se protéger des scripts malicieux sur Windows
Le Trojan.Trickbot injecte svchost.exe pour lancer des instances de ce dernier.
Le point de chargement est une Tâche planifiée :
EDIT - et le fichier de config de TrickBot qui vise les banques FR.
Source : https://twitter.com/tmmalanalyst/status ... 0063984642
Nous vous rappelons que TrickBot est un des multiples Trojan.Banker capable en outre de voler des données sur l'ordinateur infecté mais aussi de tenter de récupérer des comptes bancaires.
Une campagne de mails malveillants en français.
Ces derniers se font passer pour des factures.
! | Les mails vérolés sont en langue française et reprennent des mails existants |
Ces procédés ne sont pas nouveaux et devenus très courants depuis fin 2015 avec les ransomwares.
-> Comment se protéger des scripts malicieux sur Windows
Le Trojan.Trickbot injecte svchost.exe pour lancer des instances de ce dernier.
Le point de chargement est une Tâche planifiée :
Les détections VirusTotalTask: {148FF31E-08B8-4D62-940E-7F575A711032} - System32\Tasks\services update => C:\Users\VincentPC\AppData\Roaming\cxVyuXG1.exe [2017-06-09] () <==== ATTENTION
Code : Tout sélectionner
SHA256: e7e4903ad38c1de9e7314e5cde375fe2d76c898a985fd205ffadc8f816af0ba0
Nom du fichier : cxVyuXG1.exe
Ratio de détection : 22 / 61
Date d'analyse : 2017-06-09 12:24:20 UTC (il y a 2 heures, 1 minute)
Antivirus Résultat Mise à jour
Ad-Aware Gen:Trojan.Brresmon.Gen.1 20170609
AegisLab Tspy.Hpemotet.Sme!c 20170609
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9946 20170608
BitDefender Gen:Trojan.Brresmon.Gen.1 20170609
CrowdStrike Falcon (ML) malicious_confidence_79% (W) 20170420
DrWeb Trojan.MulDrop6.52550 20170609
Emsisoft Gen:Trojan.Brresmon.Gen.1 (B) 20170609
Endgame malicious (high confidence) 20170515
ESET-NOD32 a variant of Win32/Kryptik.FTDV 20170609
F-Secure Gen:Trojan.Brresmon.Gen.1 20170609
GData Gen:Trojan.Brresmon.Gen.1 20170609
Ikarus Win32.Outbreak 20170609
Invincea heuristic 20170607
Kaspersky UDS:DangerousObject.Multi.Generic 20170609
Palo Alto Networks (Known Signatures) generic.ml 20170609
Rising Malware.Obscure/Heur!1.9E03 (cloud:EKMhSbGtQxU) 20170609
SentinelOne (Static ML) static engine - malicious 20170516
Tencent Win32.Trojan.Inject.Auto 20170609
TrendMicro TSPY_HPEMOTET.SME 20170609
TrendMicro-HouseCall TSPY_HPEMOTET.SME 20170609
Webroot W32.Trojan.Gen 20170609
ZoneAlarm by Check Point UDS:DangerousObject.Multi.Generic 20170609
Code : Tout sélectionner
SHA256: 8a981f4ac76a854bbfb87dbf674edb35c731200f19e520e45ac725da38baeaa5
Nom du fichier : cxVyuXG1.exe
Ratio de détection : 11 / 60
Date d'analyse : 2017-06-09 14:14:38 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
Avira (no cloud) TR/Crypt.ZPACK.psvee 20170609
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20170420
Endgame malicious (high confidence) 20170515
ESET-NOD32 Win32/TrickBot.O 20170609
Invincea heuristic 20170607
Kaspersky Trojan-Dropper.Win32.Agent.bjstix 20170609
Qihoo-360 HEUR/QVM20.1.B5C4.Malware.Gen 20170609
SentinelOne (Static ML) static engine - malicious 20170516
Symantec ML.Attribute.HighConfidence 20170609
Webroot Trojan.Dropper.Gen 20170609
ZoneAlarm by Check Point Trojan-Dropper.Win32.Agent.bjstix 20170609
Source : https://twitter.com/tmmalanalyst/status ... 0063984642
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: Trojan Banker
Trickbot continue d'évoluer, des modules "worm" ont été ajoutés.
Il s'agit bien entendu d'exploiter la vulnérabilité ETERNALBLUE SMB.
Un service Windows TechnicalSvc est ajouté avec les fichiers :
Il s'agit bien entendu d'exploiter la vulnérabilité ETERNALBLUE SMB.
Un service Windows TechnicalSvc est ajouté avec les fichiers :
Parmi les modules, on trouve un testWorm : source : https://twitter.com/GossiTheDog/status/ ... 1313020928%SystemDrive%\techsvc.exe
%SystemRoot%\system32\techsvc.exe
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: Trojan Banker - Trickbot
Un autre article lié au Trojan Trickbot avec l'infrastructure de communication du malware.
Ce dernier communique notamment avec un serveur et possède des modules pour ajouter de nouvelles fonctionnalités au Trojan.
Le malware est installé sur l'ordinateur à travers des campagnes de mails malveillants, le mail malveillant vise à télécharger et exécuter le payload sur l'ordinateur.
Un module de proxy / SOCK5 qui permet la connexion au serveur de contrôle est ensuite télécharger. C'est ce module qui va permettre de voler les identifiants des sites consultés.
Trickbot vise de multiples sites comme les sites de banques, paypal, site adultes, médias sociaux, etc.
source : https://www.flashpoint-intel.com/blog/t ... ack-model/
Ce dernier communique notamment avec un serveur et possède des modules pour ajouter de nouvelles fonctionnalités au Trojan.
Le malware est installé sur l'ordinateur à travers des campagnes de mails malveillants, le mail malveillant vise à télécharger et exécuter le payload sur l'ordinateur.
Un module de proxy / SOCK5 qui permet la connexion au serveur de contrôle est ensuite télécharger. C'est ce module qui va permettre de voler les identifiants des sites consultés.
Trickbot vise de multiples sites comme les sites de banques, paypal, site adultes, médias sociaux, etc.
source : https://www.flashpoint-intel.com/blog/t ... ack-model/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 116544
- Inscription : 10 sept. 2005 13:57
Re: Trojan Banker
Une analyse complète du Trojan Banker Gozi par Talos : https://blog.talosintelligence.com/2018 ... -2018.html
La distribution se fait par des mails malveillant avec des documents Word.
Rien de vraiment nouveau.
Le botnet a l'origine des spam se nomme "Dark Cloud".
Des hébergeurs bulletproof sont utilisés (ils hébergent du contenu malveillant sans répondre aux demandes de fermetures).
Ce botnet hébergent des sites de carding, adultes et est utilisés pour des infrastructures liéx aux malwares Gozi ISFB et Nymaim
Afin de rendre les suivi plus difficile, ce botnet utilisent du fast flux DNS, et changent environ 12 fois d'IPs par heure.
La distribution se fait par des mails malveillant avec des documents Word.
Rien de vraiment nouveau.
Le botnet a l'origine des spam se nomme "Dark Cloud".
Des hébergeurs bulletproof sont utilisés (ils hébergent du contenu malveillant sans répondre aux demandes de fermetures).
Ce botnet hébergent des sites de carding, adultes et est utilisés pour des infrastructures liéx aux malwares Gozi ISFB et Nymaim
Afin de rendre les suivi plus difficile, ce botnet utilisent du fast flux DNS, et changent environ 12 fois d'IPs par heure.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 8 Réponses
- 326 Vues
-
Dernier message par Parisien_entraide
-
- 10 Réponses
- 511 Vues
-
Dernier message par Malekal_morte
-
- 6 Réponses
- 360 Vues
-
Dernier message par Feyd
-
- 4 Réponses
- 696 Vues
-
Dernier message par Mite
-
- 3 Réponses
- 107 Vues
-
Dernier message par Malekal_morte