Dans le paysage touffu des cybermenaces, le logiciel Trickbot sort du lot. Identifié en 2016 par les chercheurs en sécurité, ce trojan bancaire continue son activité et continue à demeurer une menace « robuste, élaborée et sophistiquée » pour le spécialiste en solutions et services de sécurité Deep Instinct. Les dernières recherches effectuées sur ce logiciel malveillant montre qu'il s'est doté de nouveaux modules afin de contaminer plus rapidement et efficacement les systèmes informatiques via la messagerie de l'utilisateur.
« Parallèlement à l’ajout récent d’un module de vol de cookies, il a acquis un nouveau partenaire criminel : un module de diffusion et d’infection par courrier électronique malveillant qui partage ses certificats de signature de code », explique Deep Instinct. « Le module est utilisé pour collecter les informations d'identification de messagerie et les contacts du carnet d'adresses, de la boîte de réception et de la boîte d'envoi d'une victime. Il peut également envoyer des spams malveillants à partir du compte compromis de la victime et enfin supprimer les messages envoyés de la boîte d'envoi et de la corbeille afin de rester caché de l'utilisateur ».
Des infections principalement localisées en Amérique du Nord
Au cours de leur enquête, les chercheurs en sécurité de Deep Instinct ont été en mesure d'accéder aux serveurs d'infection depuis lequel le malware est téléchargé sur les machines des victimes et également les serveurs de commande et de contrôle. D'après la société, plus de 250 millions de comptes e-mail ont été infectés, dont des millions appartenant à des utilisateurs dans des départements, services et agences gouvernementales aussi bien aux Etats-Unis (justice, sécurité intérieure, poste, aviation...), en Grande-Bretagne (affaires étrangères, défense, santé...) qu'au Canada (universités, administrations...). En 2017, Trickbot avait été utilisé par des pirates pour une campagne massive ciblant des centaines de milliers d'utilisateurs en France.
Parmi les comptes e-mail infectés, on compte 25,9 millions de messagerie Gmail, 19,1 millions de comptes Yahoo.com et 11,1 millions d'adresses Hotmail.com. « La vérification ponctuelle de quelques milliers d'adresses e-mail compromises par rapport à des fuites et des violations précédemment enregistrées nous porte à croire qu'il s'agit d'un nouveau type de compromission généralisée d'e-mails, jamais vu ni signalé auparavant », prévient Deep Instinct.