
Un cheval de Troie bien connu utilise une nouvelle tactique : le vol des données d’Active Directory
Le cheval de Troie TrickBot existe déjà depuis un certain temps puisqu’il a été identifié pour la première fois en 2016. Une fois qu’il est dans un système cible, il utilise divers modules qu’il peut télécharger pour obtenir des capacités spécifiques. Un chercheur en sécurité a récemment découvert qu’un nouveau module TrickBot, appelé « ADll », permettait au cheval de Troie de trouver, de consulter et d’exfiltrer des bases de données d’Active Directory stockées sur des contrôleurs de domaine Windows.
Cela ajoute une capacité pernicieuse, avec des risques accrus, à une cybermenace déjà très performante.
Un malware avec de multiples capacités
TrickBot (également connu sous les noms de TrickLoader et de Trickster) est le résultat de plus d’une décennie d’évolution des menaces. Il a été conçu à l’origine pour voler des données bancaires en ligne, avec une liste de sites bancaires en ligne à attaquer qui change constamment. Mais au fur et à mesure de son évolution, sa nature modulaire lui a conféré de plus en plus de fonctionnalités, et il est utilisé pour cibler des victimes dans de nombreux secteurs. Il est fréquemment utilisé pour infiltrer le ransomware Ryuk, mais ses capacités vont bien au-delà.
Comme le signale un rapport technique détaillé de l’Agence américaine CISA (Cybersécurité and Infrastructure Security Agency) :
« Les opérateurs de TrickBot disposent d’un ensemble d’outils capables de couvrir l’intégralité du cadre MITRE ATT&CK, allant de la collecte active ou passive d’informations pouvant servir à cibler des victimes (Reconnaissance [TA0043]), à la tentative de manipulation, d’interruption ou de destruction des systèmes et des données (Impact [TA0040]). »
Voici quelques-unes de ses nombreuses capacités :
Vol de données des e-mails et des navigateurs
Vol de cryptomonnaie ciblant coinbase.com
Exploitation d’EternalBlue pour le mouvement latéral
Configuration en temps réel via le serveur de commande et de contrôle (C2)
Désactivation des contrôles de sécurité
Chiffrement des données (malware Ryuk)
Atténuer les risques liés aux données d'Active Directory
L’utilisation du module ADll pour identifier et exfiltrer et/ou détruire des données d’Active Directory comporte de nombreux risques spécifiques.
Tout d’abord, cela permet aux pirates d’utiliser des identifiants volés pour étendre beaucoup plus rapidement l’accès et découvrir des cibles au sein de votre réseau. Cela signifie que vous avez beaucoup moins de temps pour détecter et bloquer cette activité avant qu’une charge utile comme un ransomware ne soit déclenchée.
En outre, cette tactique permet l’usurpation d’identité, le piratage des e-mails professionnels, le détournement des conversations et d’autres types d’attaques qui peuvent conduire à des fraudes coûteuses et à des pertes de données.
En cas de destruction (et de vol) des données d’Active Directory, l’interruption des activités de votre organisation serait grave et coûteuse, et il faudrait probablement des jours ou des semaines pour y remédier complètement.
Enfin, cela s’ajoute au marché clandestin déjà florissant des identifiants de réseau volés et d’autres données d’identification. Comme nous l’avons déjà mentionné dans cet espace, on parle parfois de l’ère « post-violation » en raison du nombre incroyablement élevé de données volées (y compris les « fullz ») qui circulent déjà et qui sont mises à la disposition du plus offrant.
La meilleure façon d’atténuer ces risques est de mettre en place une solution de sécurité complète et multicouche qui combine les éléments suivants :
Une architecture « zero trust » pour réduire le risque d’accès non autorisé au réseau à l’aide d’identifiants volés. Cette méthode est nettement plus efficace que l’authentification multifacteur (MFA).
Une surveillance avancée des données intra-réseau et du trafic des communications, en tirant parti de la puissance de l’apprentissage automatique et de l’IA pour détecter les anomalies et les menaces potentielles.
Un backup moderne dans le cloud qui protège les données d’Active Directory et permet de récupérer et de restaurer les données rapidement et en toute fiabilité.
Explorez les avantages de Barracuda Email Protection et découvrez comment profiter de ces fonctionnalités et d’autres capacités dans une plateforme unique, intégrée et facile à utiliser.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter