TrickBot, la tristement célèbre solution Windows crimeware-as-a-service (CaaS) utilisée par divers acteurs de la menace pour fournir des charges utiles de niveau supérieur comme les ransomwares, semble subir une sorte de transition, sans nouvelle activité enregistrée depuis le début de l’année.
L’accalmie dans les campagnes de logiciels malveillants est « en partie due à un grand changement des opérateurs de Trickbot, notamment en travaillant avec les opérateurs d’Emotet », ont déclaré des chercheurs d’Intel 471. mentionné dans un rapport partagé avec The Hacker News.
La dernière série d’attaques impliquant TrickBot a été enregistrée le 28 décembre 2021, alors même que l’infrastructure de commande et de contrôle (C2) associée au logiciel malveillant a continué à fournir des plug-ins et des injections Web supplémentaires aux nœuds infectés du botnet.
Fait intéressant, la diminution du volume des campagnes a également été accompagnée par le gang TrickBot travaillant en étroite collaboration avec les opérateurs d’Emotet, qui a connu une résurgence à la fin de l’année dernière après une pause de 10 mois suite aux efforts des forces de l’ordre pour lutter contre le malware.
Les attaques, qui ont été observées pour la première fois en novembre 2021, comportaient une séquence d’infection qui utilisait TrickBot comme conduit pour télécharger et exécuter des binaires Emotet, alors qu’avant le retrait, Emotet était souvent utilisé pour déposer des échantillons TrickBot.
« Il est probable que les opérateurs de TrickBot aient progressivement éliminé le malware TrickBot de leurs opérations au profit d’autres plates-formes, telles qu’Emotet », ont déclaré les chercheurs. « Après tout, TrickBot est un logiciel malveillant relativement ancien qui n’a pas été mis à jour de manière majeure. »
De plus, Intel 471 a déclaré avoir observé des cas de TrickBot poussant les installations de Qbot sur les systèmes compromis peu de temps après le retour d’Emotet en novembre 2021, évoquant une fois de plus la possibilité d’un remaniement en coulisse pour migrer vers d’autres plates-formes.
Avec TrickBot de plus en plus sous l’objectif de forces de l’ordre en 2021, il n’est peut-être pas trop surprenant que l’acteur de la menace qui se cache derrière tente activement de changer de tactique et de mettre à jour ses mesures défensives.
Selon un rapport séparé publié par Advanced Intelligence (AdvIntel) la semaine dernière, le cartel du ransomware Conti aurait embauché plusieurs développeurs d’élite de TrickBot pour retirer le malware en faveur d’outils améliorés tels que BazarBackdoor.
« Peut-être qu’une combinaison d’attention indésirable portée à TrickBot et de la disponibilité de plates-formes de logiciels malveillants plus récentes et améliorées a convaincu les opérateurs de TrickBot de l’abandonner », ont noté les chercheurs. « Nous soupçonnons que l’infrastructure de contrôle des logiciels malveillants (C2) est maintenue car il existe encore une certaine valeur de monétisation dans les bots restants. »