Page 1 sur 1

Informations relatives au cheval de Troie Trickbot

Posté : 28 nov. 2019 10:14
par charles
Un cheval de Troie bancaire à l'origine, qui semble pertinent de surveiller, TrickBot récupère grâce à son module pwgrab32 les mots de passe stockés dans plusieurs n.avigateurs et applications :

Outlook
Filezilla
WinSCP
Google Chrome
Mozilla Firefox
Internet Explorer
Microsoft Edge

Comme le souligne un rapport de Trend Micro : https://blog.trendmicro.com/trendlabs-s ... er-module/

Plus intéressant encore, dans un rapport publié par Palo Alto, l'équipe Unit 42 nous indique qu'il s'attaque également aux certificats et fichiers de connexion OpenVPN, ainsi qu'aux clés SSH et aux informations de connexion pouvant être stockées dans différentes applications comme Putty, WinSCP ou encore Filezilla.

À noter également, que les données sont envoyées via HTTP "en clair" sur le port 8082 aux serveurs C2 :oops:

https://unit42.paloaltonetworks.com/tri ... er-module/

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Re: TrickBot Trojan : le cheval de Troie qui siphonne les mots de passe

Posté : 28 nov. 2019 13:19
par michael
Sauf erreur ce trojan a été rattaché plusieurs fois au groupe TA505, à l'origine de l'attaque du CHU de Rouen (et à l'origine de Locky et Dridex notamment).

Campagne de messages malveillants - Trickbot

Posté : 16 mars 2020 23:30
par charles
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Re: Campagne de messages malveillants - Trickbot

Posté : 16 mars 2020 23:40
par charles
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Re: Campagne de messages malveillants - Trickbot

Posté : 18 mars 2020 23:44
par charles
Trickbot se dote également d'un module permettant de réaliser du brute-force sur RDP :

https://labs.bitdefender.com/2020/03/ne ... hong-kong/

Re: Informations relatives au cheval de Troie Trickbot

Posté : 31 juil. 2020 13:17
par charles
Trickbot s'attaque désormais aux machines Linux et communique via DNS grâce à Anchor_dns :

https://hello.global.ntt/zh-cn/insights ... g-over-dns

https://medium.com/stage-2-security/anc ... 07ba13ca30