Le malware TrickBot vérifie désormais la résolution de l'écran pour échapper à une analyse

Le cheval de Troie TrickBot, dont nous vous parlions récemment, a commencé à vérifier les résolutions d'écran des victimes pour détecter si le malware s'exécute sur une machine virtuelle.

Lorsque les chercheurs analysent des logiciels malveillants, ils le font généralement sur une machine virtuelle configurée avec divers outils d'analyse.

Pour cette raison, les logiciels malveillants utilisent généralement des techniques anti-VM pour détecter si le logiciel malveillant s'exécute sur une machine virtuelle. Si tel est le cas, il est très probablement analysé par un chercheur ou un système de bac à sable automatisé.

Ces techniques anti-VM incluent la recherche de processus particuliers, de services Windows ou de noms de machine, et même la vérification des adresses MAC ou des fonctionnalités du processeur de la carte réseau.

TrickBot utilise la résolution d'écran comme vérifications anti-VM

Dans un nouvel échantillon du cheval de Troie TrickBot découvert par Maciej Kotowicz de la firme de cybersécurité MalwareLab, le logiciel malveillant vérifie maintenant la résolution d'écran d'un ordinateur infecté pour déterminer s'il s'agit d'une machine virtuelle.

Lancé en tant que cheval de Troie bancaire, le TrickBot a évolué au fil du temps pour exécuter divers comportements malveillants.

Ce comportement comprend la propagation latérale sur un réseau, le vol des informations d'identification enregistrées dans les navigateurs, le vol des bases de données des services Active Directory, le vol des cookies et des clés OpenSSH, le vol des informations d'identification RDP, VNC et PuTTY, etc.

Dans un tweet, Kotowicz a déclaré qu'un nouvel échantillon de TrickBot vérifie si la résolution d'écran de l'ordinateur est de 800x600 ou 1024x768, et si c'est le cas, TrickBot se terminera.

code-trickbot

 

TrickBot vérifie ces résolutions particulières en raison de la façon dont les chercheurs configurent généralement leurs machines virtuelles d'analyse de logiciels malveillants.

Lors de la configuration d'une machine virtuelle, la plupart des chercheurs n'installent pas le logiciel invité VM qui permet de meilleures résolutions d'écran, un meilleur contrôle de la souris, une mise en réseau améliorée et d'autres fonctionnalités.

Le logiciel n'est pas installé car les logiciels malveillants vérifient généralement les fichiers, les clés de registre et les processus utilisés par le logiciel invité de la machine virtuelle.

Sans le logiciel invité, cependant, une machine virtuelle n'autorise généralement aucune résolution autre que 800x600 et 1024x768, par rapport aux résolutions d'écran ordinaires qui sont beaucoup plus élevées.

Sachant cela, les développeurs de TrickBot utilisent ces contrôles de résolution d'écran comme un autre contrôle anti-VM.

La bonne nouvelle est que si vous utilisez ces résolutions, vous êtes à l'abri de TrickBot. La mauvaise nouvelle est que vous utilisez ces résolutions.