Une augmentation de l’activité TrueBot a été observée en mai 2023, ont révélé des chercheurs en cybersécurité.
« TrueBot est un botnet trojan téléchargeur qui utilise des serveurs de commande et de contrôle pour collecter des informations sur les systèmes compromis et utilise ce système compromis comme point de lancement pour d’autres attaques », a déclaré Fae Carlisle de VMware. a dit.
Actif depuis au moins 2017, TrueBot est lié à un groupe connu sous le nom de Silence qui est censé partager des chevauchements avec le célèbre acteur russe du cybercrime connu sous le nom d’Evil Corp.
Les infections TrueBot récentes ont exploité une faille critique dans l’auditeur Netwrix (CVE-2022-31199, score CVSS : 9,8) ainsi que Rouge-gorge Framboise comme vecteurs de livraison.
La chaîne d’attaque documentée par VMware, en revanche, commence par le téléchargement drive-by-down d’un exécutable nommé « mise à jour.exe » de Google Chrome, suggérant que les utilisateurs sont incités à télécharger le logiciel malveillant sous prétexte d’une mise à jour logicielle.
Une fois exécuté, update.exe établit des connexions avec une adresse IP TrueBot connue située en Russie pour récupérer un exécutable de deuxième étape (« 3ujwy2rz7v.exe ») qui est ensuite lancé à l’aide de l’invite de commande Windows.
L’exécutable, pour sa part, se connecte à un domaine de commande et de contrôle (C2) et exfiltre les informations sensibles de l’hôte. Il est également capable d’énumérer les processus et les systèmes.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
« TrueBot peut être une infection particulièrement désagréable pour n’importe quel réseau », a déclaré Carlisle. « Lorsqu’une organisation est infectée par ce malware, il peut rapidement s’aggraver pour devenir une infection plus importante, de la même manière que le ransomware se propage sur un réseau. »
Les résultats surviennent alors que SonicWall a détaillé une nouvelle variante d’un autre logiciel malveillant de téléchargement connu sous le nom de GuLoader (alias CloudEyE) qui est utilisé pour fournir une large gamme de logiciels malveillants tels que l’agent Tesla, Azorult et Remcos.
« Dans la dernière variante de GuLoader, il introduit de nouvelles façons de lever des exceptions qui entravent le processus d’analyse complet et son exécution dans un environnement contrôlé », SonicWall a dit.