Il famigerato Trojanbot Trojan è ora anche in grado di rubare credenziali dai browser Web

Trickbot Streals Passwords From Browsers

In poco più di due anni, Trickbot è stato trasformato da nuovo arrivato a un nome affermato nel panorama delle minacce online. Per qualche ragione, molte persone continuano a classificarlo come un trojan bancario, ma coloro che lo hanno effettivamente analizzato nei dettagli sanno che è un po 'più di questo.

Trickbot è una famiglia di malware modulare e altamente personalizzabile

Analizzato per la prima volta nell'ottobre 2016, si ritiene che Trickbot sia opera degli stessi criminali informatici che hanno creato Cutwail, Vawtrak e Pushdo. Quando è emerso sulla scena, era una minaccia abbastanza semplice con un numero limitato di istituzioni finanziarie mirate. Un aggiornamento è arrivato circa un mese dopo, e gli esperti hanno subito capito di avere in seria parte un malware. A poche settimane dal rilascio della prima versione, gli autori di Trickbot erano già riusciti a includere nel loro trojan sia i reindirizzamenti che i meccanismi di iniezione web sul lato server. Trickbot potrebbe non essere stato il primo malware bancario a utilizzare le due tecniche, ma è stato il primo a farlo così presto dopo il suo debutto. La banda aveva più di qualche altro asso nella manica.

Anche nella prima versione, i ricercatori della sicurezza hanno visto che il design di Trickbot consente la facile aggiunta di moduli che potrebbero diversificare le sue attività criminali. Nell'estate del 2017, i truffatori hanno implementato un componente che ha rubato le credenziali di accesso non solo per i conti bancari, ma anche per i sistemi di gestione delle relazioni con i clienti e, poco dopo, hanno aggiunto molte nuove voci all'elenco degli istituti finanziari interessati. La banda di Trickbot ora stava molestando gli utenti in quasi venti paesi.

A luglio 2017, hanno aggiunto un modulo worm che ha sfruttato l'ormai famigerato protocollo SMB per diffondersi nella rete e, nei prossimi mesi, hanno sperimentato alcuni componenti diversi come, ad esempio, un modulo di blocco dello schermo che ha per fortuna rimase disabile. Ora abbiamo una nuova versione con ancora più funzionalità.

Trickbot acquisisce i dati dai browser e da altre app

Il mese scorso, i ricercatori di Trend Micro e Fortinet hanno notato alcuni campioni di Trickbot in volo.

Come spesso accade, sono stati distribuiti con l'aiuto di e-mail di spam. Per indurre le vittime ad aprire l'allegato, i truffatori hanno chiamato il file "Sep_report.xls" e quello che è seguito è stato il tipico scenario "Abilita macro per visualizzare il contenuto".

Dopo la distribuzione, il codice è stato scaricato ed eseguito il trojan Trickbot, ma quando hanno dato un'occhiata più da vicino, gli esperti hanno visto un modulo che non avevano mai visto prima. È arrivato sotto forma di un file da 1 MB chiamato "pwgrab32". Il suo nome offre alcune delle sue funzionalità, rubando le password.

Quando hanno dato un'occhiata più da vicino al nuovo modulo, gli esperti hanno visto che può attaccare la maggior parte dei browser principali. Ruba non solo le credenziali di accesso, ma anche i dati di compilazione automatica (che, nei browser moderni, possono includere i dettagli della carta di credito e altre informazioni sensibili) da Google Chrome, Mozilla Firefox e Internet Explorer. Esisteva anche un meccanismo per l'esfiltrazione dei dati da Microsoft Edge, ma era disabilitato quando Fortinet e Trend Micro lo guardavano. Al suo posto, gli autori di Trickbot avevano inserito un componente che raschiava le credenziali di accesso dal client di posta elettronica Microsoft, Outlook, nonché da un paio di client FTP - FileZilla e WinSCP.

Abbiamo discusso del perché il salvataggio delle credenziali di accesso e di altri dati nel browser non sia una buona idea e la nuova funzionalità di Trickbot illustra piuttosto bene il punto. Per anni, gli esperti hanno sostenuto l'uso di strumenti autonomi per la gestione delle password come Cyclonis Password Manager e potresti voler iniziare a pensare di ascoltare i loro consigli.

Anche con un gestore di password, tuttavia, Trickbot è ancora una minaccia da non sottovalutare e il nuovo aggiornamento mostra che i truffatori non hanno intenzione di ritirarlo presto.

Entro il Duran
October 9, 2019
Trojan
Italiano
October 9, 2019
Trojan

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

4 days fa

Rilevamento malware Trojan Al11

11 months fa

Pinaview è un'app adware completa

10 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.