TrickBot Trojan : le cheval de Troie qui siphonne les mots de passe

Nous essayerons ici de faire passer un maximum d’alertes de sécurité relatives au SIH, tous les types de cyber attaques
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 4114
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

TrickBot Trojan : le cheval de Troie qui siphonne les mots de passe

Message par charles » 28 nov. 2019 10:14

Un cheval de Troie bancaire à l'origine, qui semble pertinent de surveiller, TrickBot récupère grâce à son module pwgrab32 les mots de passe stockés dans plusieurs n.avigateurs et applications :

Outlook
Filezilla
WinSCP
Google Chrome
Mozilla Firefox
Internet Explorer
Microsoft Edge

Comme le souligne un rapport de Trend Micro : https://blog.trendmicro.com/trendlabs-s ... er-module/

Plus intéressant encore, dans un rapport publié par Palo Alto, l'équipe Unit 42 nous indique qu'il s'attaque également aux certificats et fichiers de connexion OpenVPN, ainsi qu'aux clés SSH et aux informations de connexion pouvant être stockées dans différentes applications comme Putty, WinSCP ou encore Filezilla.

À noter également, que les données sont envoyées via HTTP "en clair" sur le port 8082 aux serveurs C2 :oops:

https://unit42.paloaltonetworks.com/tri ... er-module/

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

michael
Messages : 172
Enregistré le : 12 févr. 2016 13:38
Etablissement : CHU Nimes
Fonction : RSSI
DPO / DPD : Non

Re: TrickBot Trojan : le cheval de Troie qui siphonne les mots de passe

Message par michael » 28 nov. 2019 13:19

Sauf erreur ce trojan a été rattaché plusieurs fois au groupe TA505, à l'origine de l'attaque du CHU de Rouen (et à l'origine de Locky et Dridex notamment).

Répondre

Retourner vers « Alertes de sécurité - Attaques et infections »