Il famigerato Trojanbot Trojan è ora anche in grado di rubare credenziali dai browser Web

Trickbot Streals Passwords From Browsers

In poco più di due anni, Trickbot è stato trasformato da nuovo arrivato a un nome affermato nel panorama delle minacce online. Per qualche ragione, molte persone continuano a classificarlo come un trojan bancario, ma coloro che lo hanno effettivamente analizzato nei dettagli sanno che è un po 'più di questo.

Trickbot è una famiglia di malware modulare e altamente personalizzabile

Analizzato per la prima volta nell'ottobre 2016, si ritiene che Trickbot sia opera degli stessi criminali informatici che hanno creato Cutwail, Vawtrak e Pushdo. Quando è emerso sulla scena, era una minaccia abbastanza semplice con un numero limitato di istituzioni finanziarie mirate. Un aggiornamento è arrivato circa un mese dopo, e gli esperti hanno subito capito di avere in seria parte un malware. A poche settimane dal rilascio della prima versione, gli autori di Trickbot erano già riusciti a includere nel loro trojan sia i reindirizzamenti che i meccanismi di iniezione web sul lato server. Trickbot potrebbe non essere stato il primo malware bancario a utilizzare le due tecniche, ma è stato il primo a farlo così presto dopo il suo debutto. La banda aveva più di qualche altro asso nella manica.

Anche nella prima versione, i ricercatori della sicurezza hanno visto che il design di Trickbot consente la facile aggiunta di moduli che potrebbero diversificare le sue attività criminali. Nell'estate del 2017, i truffatori hanno implementato un componente che ha rubato le credenziali di accesso non solo per i conti bancari, ma anche per i sistemi di gestione delle relazioni con i clienti e, poco dopo, hanno aggiunto molte nuove voci all'elenco degli istituti finanziari interessati. La banda di Trickbot ora stava molestando gli utenti in quasi venti paesi.

A luglio 2017, hanno aggiunto un modulo worm che ha sfruttato l'ormai famigerato protocollo SMB per diffondersi nella rete e, nei prossimi mesi, hanno sperimentato alcuni componenti diversi come, ad esempio, un modulo di blocco dello schermo che ha per fortuna rimase disabile. Ora abbiamo una nuova versione con ancora più funzionalità.

Trickbot acquisisce i dati dai browser e da altre app

Il mese scorso, i ricercatori di Trend Micro e Fortinet hanno notato alcuni campioni di Trickbot in volo.

Come spesso accade, sono stati distribuiti con l'aiuto di e-mail di spam. Per indurre le vittime ad aprire l'allegato, i truffatori hanno chiamato il file "Sep_report.xls" e quello che è seguito è stato il tipico scenario "Abilita macro per visualizzare il contenuto".

Dopo la distribuzione, il codice è stato scaricato ed eseguito il trojan Trickbot, ma quando hanno dato un'occhiata più da vicino, gli esperti hanno visto un modulo che non avevano mai visto prima. È arrivato sotto forma di un file da 1 MB chiamato "pwgrab32". Il suo nome offre alcune delle sue funzionalità, rubando le password.

Quando hanno dato un'occhiata più da vicino al nuovo modulo, gli esperti hanno visto che può attaccare la maggior parte dei browser principali. Ruba non solo le credenziali di accesso, ma anche i dati di compilazione automatica (che, nei browser moderni, possono includere i dettagli della carta di credito e altre informazioni sensibili) da Google Chrome, Mozilla Firefox e Internet Explorer. Esisteva anche un meccanismo per l'esfiltrazione dei dati da Microsoft Edge, ma era disabilitato quando Fortinet e Trend Micro lo guardavano. Al suo posto, gli autori di Trickbot avevano inserito un componente che raschiava le credenziali di accesso dal client di posta elettronica Microsoft, Outlook, nonché da un paio di client FTP - FileZilla e WinSCP.

Abbiamo discusso del perché il salvataggio delle credenziali di accesso e di altri dati nel browser non sia una buona idea e la nuova funzionalità di Trickbot illustra piuttosto bene il punto. Per anni, gli esperti hanno sostenuto l'uso di strumenti autonomi per la gestione delle password come Cyclonis Password Manager e potresti voler iniziare a pensare di ascoltare i loro consigli.

Anche con un gestore di password, tuttavia, Trickbot è ancora una minaccia da non sottovalutare e il nuovo aggiornamento mostra che i truffatori non hanno intenzione di ritirarlo presto.

October 9, 2019

Cyclonis Backup

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.