TrickBot inquiète car il peut altérer le firmware de votre BIOS
Les chercheurs en sécurité sont inquiets car une nouvelle fonctionnalité du malware TrickBot pourrait altérer le firmware du BIOS de votre machine. Autrement dit, même après une réinstallation du système d'exploitation, le logiciel malveillant serait toujours présent sur votre machine.
TrickBot n'est pas nouveau, il est notamment impliqué dans la chaîne de diffusion du ransomware Ryuk. Ce qui est nouveau, c'est un module qu'il intègre et qui a été découvert pour la première fois fin octobre. Cette information est remontée par les sociétés Advanced Intelligence et Eclypsium dans un rapport publié jeudi dernier, où l'on apprend que TrickBot a la capacité d'être persistant.
Au-delà de la persistance du malware même après réinstallation de l'OS, la modification du firmware a d'autres conséquences, notamment :
- La possibilité de contourner les contrôles de sécurité des antivirus, EDR, de BitLocker ou encore de Credential Guard
- Le déni de service à distance grâce à cette connexion directe avec le firmware
- Etc.
Pour le moment, TrickBot n'a pas était pris en action en train de modifier le firmware d'une machine, il se contenterai d'effectuer des actions de lecture. Néanmoins, il intègre déjà le code nécessaire à la lecture, modification et effacement du firmware en exploitant le pilote RwDrv.sys de l'outil RWEverything. Cette fonctionnalité redoutable permettrait à TrickBot de conserver un accès persistant au sein des réseaux infectés. Les chercheurs en sécurité de chez Advanced Intelligence et Eclypsium précise que les possibilités sont presque illimitées à partir du moment où le firmware est altéré.
Après un démantèlement raté, les pirates derrière TrickBot semblent bien décidé à le rendre plus puissant que jamais en intégrant de nouvelles fonctionnalités. Il bénéficie également d'une nouvelle infrastructure pour les serveurs C&C (Command and Control) et de nouvelles techniques d'obscurcissement du code sont utilisées. Enfin, il est utilisé dans des campagnes de spam et peut mener à une infection de votre infrastructure par le ransomware Ryuk comme charge finale, comme l'a évoqué récemment l'ANSSI.