fbpx

Le malware TrickBot vĂ©rifie dĂ©sormais la rĂ©solution de l’Ă©cran pour Ă©chapper Ă  une analyse

Le cheval de Troie TrickBot, dont nous vous parlions rĂ©cemment, a commencĂ© Ă  vĂ©rifier les rĂ©solutions d’Ă©cran des victimes pour dĂ©tecter si le malware s’exĂ©cute sur une machine virtuelle.

Lorsque les chercheurs analysent des logiciels malveillants, ils le font gĂ©nĂ©ralement sur une machine virtuelle configurĂ©e avec divers outils d’analyse.

Pour cette raison, les logiciels malveillants utilisent gĂ©nĂ©ralement des techniques anti-VM pour dĂ©tecter si le logiciel malveillant s’exĂ©cute sur une machine virtuelle. Si tel est le cas, il est trĂšs probablement analysĂ© par un chercheur ou un systĂšme de bac Ă  sable automatisĂ©.

Ces techniques anti-VM incluent la recherche de processus particuliers, de services Windows ou de noms de machine, et mĂȘme la vĂ©rification des adresses MAC ou des fonctionnalitĂ©s du processeur de la carte rĂ©seau.

TrickBot utilise la rĂ©solution d’Ă©cran comme vĂ©rifications anti-VM

Dans un nouvel Ă©chantillon du cheval de Troie TrickBot dĂ©couvert par Maciej Kotowicz de la firme de cybersĂ©curitĂ© MalwareLab, le logiciel malveillant vĂ©rifie maintenant la rĂ©solution d’Ă©cran d’un ordinateur infectĂ© pour dĂ©terminer s’il s’agit d’une machine virtuelle.

Lancé en tant que cheval de Troie bancaire, le TrickBot a évolué au fil du temps pour exécuter divers comportements malveillants.

Ce comportement comprend la propagation latĂ©rale sur un rĂ©seau, le vol des informations d’identification enregistrĂ©es dans les navigateurs, le vol des bases de donnĂ©es des services Active Directory, le vol des cookies et des clĂ©s OpenSSH, le vol des informations d’identification RDP, VNC et PuTTY, etc.

Dans un tweet, Kotowicz a dĂ©clarĂ© qu’un nouvel Ă©chantillon de TrickBot vĂ©rifie si la rĂ©solution d’Ă©cran de l’ordinateur est de 800×600 ou 1024×768, et si c’est le cas, TrickBot se terminera.

code-trickbot

TrickBot vĂ©rifie ces rĂ©solutions particuliĂšres en raison de la façon dont les chercheurs configurent gĂ©nĂ©ralement leurs machines virtuelles d’analyse de logiciels malveillants.

Lors de la configuration d’une machine virtuelle, la plupart des chercheurs n’installent pas le logiciel invitĂ© VM qui permet de meilleures rĂ©solutions d’Ă©cran, un meilleur contrĂŽle de la souris, une mise en rĂ©seau amĂ©liorĂ©e et d’autres fonctionnalitĂ©s.

Le logiciel n’est pas installĂ© car les logiciels malveillants vĂ©rifient gĂ©nĂ©ralement les fichiers, les clĂ©s de registre et les processus utilisĂ©s par le logiciel invitĂ© de la machine virtuelle.

Sans le logiciel invitĂ©, cependant, une machine virtuelle n’autorise gĂ©nĂ©ralement aucune rĂ©solution autre que 800×600 et 1024×768, par rapport aux rĂ©solutions d’Ă©cran ordinaires qui sont beaucoup plus Ă©levĂ©es.

Sachant cela, les dĂ©veloppeurs de TrickBot utilisent ces contrĂŽles de rĂ©solution d’Ă©cran comme un autre contrĂŽle anti-VM.

La bonne nouvelle est que si vous utilisez ces rĂ©solutions, vous ĂȘtes Ă  l’abri de TrickBot. La mauvaise nouvelle est que vous utilisez ces rĂ©solutions.

Partagez nous !