TrickBot
Qu'est-ce que TrickBot ?
TrickBotCheval de Troie bancaire modulaire et framework de post-exploitation opere par WIZARD SPIDER, ayant ouvert la voie aux ransomwares Ryuk, Conti et Diavol.
TrickBot est apparu en 2016 comme successeur de Dyre et a rapidement evolue de cheval de Troie bancaire vers un framework de post-exploitation polyvalent. Opere par le cluster criminel WIZARD SPIDER, il deployait des modules pour le vol d'identifiants, l'injection dans les navigateurs, la reconnaissance Active Directory, le deplacement lateral via SMB et les proxys SOCKS. Il a servi de loader principal pour Ryuk, Conti puis Diavol, et a ete fortement associe aux infections Emotet entre 2018 et 2020. L'equipe Defender de Microsoft et l'US Cyber Command ont perturbe son infrastructure en octobre 2020, et les fuites Conti de 2022 ont revele des liens profonds entre les developpeurs TrickBot et l'operation Conti. La base de code a ensuite donne naissance a Bumblebee.
● Exemples
- 01
TrickBot collecte des credentials Domain Admin sur le portable d'un comptable et les transmet aux operateurs qui deploient Conti.
- 02
Une equipe de reponse trouve le module pwgrab64 de TrickBot en memoire aux cotes de composants Ryuk sur un controleur de domaine.
● Questions fréquentes
Qu'est-ce que TrickBot ?
Cheval de Troie bancaire modulaire et framework de post-exploitation opere par WIZARD SPIDER, ayant ouvert la voie aux ransomwares Ryuk, Conti et Diavol. Cette notion relève de la catégorie Logiciels malveillants en cybersécurité.
Que signifie TrickBot ?
Cheval de Troie bancaire modulaire et framework de post-exploitation opere par WIZARD SPIDER, ayant ouvert la voie aux ransomwares Ryuk, Conti et Diavol.
Comment fonctionne TrickBot ?
TrickBot est apparu en 2016 comme successeur de Dyre et a rapidement evolue de cheval de Troie bancaire vers un framework de post-exploitation polyvalent. Opere par le cluster criminel WIZARD SPIDER, il deployait des modules pour le vol d'identifiants, l'injection dans les navigateurs, la reconnaissance Active Directory, le deplacement lateral via SMB et les proxys SOCKS. Il a servi de loader principal pour Ryuk, Conti puis Diavol, et a ete fortement associe aux infections Emotet entre 2018 et 2020. L'equipe Defender de Microsoft et l'US Cyber Command ont perturbe son infrastructure en octobre 2020, et les fuites Conti de 2022 ont revele des liens profonds entre les developpeurs TrickBot et l'operation Conti. La base de code a ensuite donne naissance a Bumblebee.
Comment se défendre contre TrickBot ?
Les défenses contre TrickBot combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de TrickBot ?
Noms alternatifs courants : WIZARD SPIDER, TrickLoader.
● Termes liés
- malware№ 084
Cheval de Troie bancaire
Logiciel malveillant conçu pour voler des identifiants bancaires en ligne et autoriser des transactions frauduleuses, généralement via web injects, capture de formulaires ou superpositions.
- malware№ 954
Rancongiciel Ryuk
Famille de rancongiciel ciblee operee par WIZARD SPIDER depuis 2018, qui a extorque de gros montants aupres d'entreprises, hopitaux et collectivites via des intrusions TrickBot.
- malware№ 377
Emotet
Cheval de Troie bancaire modulaire devenu loader malware-as-a-service distribuant des ransomwares affilies, demantele en janvier 2021 par les forces de l'ordre internationales.
- malware№ 621
Loader
Malware qui prépare l'environnement et charge des charges utiles ultérieures — souvent directement en mémoire — pour la phase suivante d'une attaque.