Trickbot Malware ha nuovi trucchi nella manica: campioni a tema coronavirus imbrogliano i prodotti di sicurezza e le aziende di telecomunicazione target

Nel 2016, Trickbot ha iniziato la sua vita come un umile trojan bancario, ma è diventato rapidamente evidente che era molto di più. In questo momento, vicino a quattro anni dopo, è probabilmente sicuro affermare che è la famiglia di malware più utilizzata al mondo e non c'è nulla che suggerisca che i criminali informatici si allontaneranno presto da esso.

Il suo fascino principale risiede nella sua versatilità, che deriva dal suo design modulare. I creatori di malware possono sviluppare e aggiungere plug-in e fare in modo che il trojan esegua una vasta gamma di attività. Nel frattempo, con alcune modifiche, Trickbot può diventare più furtivo ed estremamente difficile da rimuovere. Campioni recenti scoperti dai ricercatori sulla sicurezza mostrano perché i criminali informatici lo adorano così tanto.

I campioni di Trickbot usano il panico che circonda l'epidemia di coronavirus per eludere le soluzioni di sicurezza

Trickbot, come molte altre famiglie di malware, sta utilizzando l'attuale pandemia di coronavirus nelle sue campagne. A differenza di altre bande, tuttavia, gli operatori di Trickbot non usano lo scoppio per ingannare le vittime nell'aprire un file o fare clic su un collegamento. Questa volta, il coronavirus svolge un ruolo nell'ingannare il computer.

Secondo il sito Web di notizie sulla sicurezza Bleeping Computer, recentemente, i criminali hanno apportato modifiche al criptatore del malware, un programma progettato per crittografare il codice dell'eseguibile e renderlo legittimo. I ricercatori hanno esaminato le proprietà dei nuovi file e hanno scoperto che le stringhe delle notizie di Coronavirus venivano inserite in campi come "Descrizione file", "Nome prodotto" e "Copyright".

Sembra una mossa strana. Dopotutto, la triste verità è che è improbabile che gli utenti regolari cerchino un file sconosciuto in così tanti dettagli prima di avviarlo, e anche se lo facessero, ci sono buone probabilità che vengano confusi da una pagina Proprietà che assomiglia a questa. C'è comunque un metodo dietro tutto questo.

Vitali Kremez di SentinelLabs ha detto a Bleeping Computer che è molto probabilmente una tecnica di evasione del rilevamento. Apparentemente, gli operatori di Trickbot l'hanno usato in passato e sembra essere particolarmente efficace contro le soluzioni di sicurezza che si basano sull'intelligenza artificiale e sull'apprendimento automatico.

Queste nuove aggiunte suggeriscono che gli operatori di Trickbot sono determinati a compromettere con successo i loro obiettivi. Questo, a proposito, è supportato anche da ricerche non correlate condotte da Bitdefender all'inizio di questo mese.

Trickbot attacca gli obiettivi tramite RDP

I ricercatori di Bitdefender stavano monitorando il comportamento di Trickbot quando a fine gennaio notarono che i criminali stavano spingendo un aggiornamento. C'era un nuovo modello che gli esperti non avevano mai visto prima. Alcune funzionalità non funzionavano correttamente, il che dimostrava che l'aggiornamento era ancora in corso, ma nonostante ciò, riuscì a dare agli esperti un'idea di quali potrebbero essere i piani futuri dei criminali.

Il nuovo modulo, insieme a un file di configurazione, viene scaricato da uno dei tanti server Command & Control (C&C) disponibili dopo un'infezione riuscita. Trickbot riceve un elenco di destinazioni e la sua prima attività è verificare se i servizi Remote Desktop Protocol (RDP) sono abilitati. Se un target ha un RDP aperto, il suo nome viene rinviato al C&C attraverso una richiesta POST. Il server risponde con una raccolta di nomi utente e password che Trickbot utilizza per cercare di forzare la sua forza e compromettere l'organizzazione mirata.

È difficile dire se il nuovo modulo è stato ancora utilizzato in natura. Sulla base dell'elenco di obiettivi che il ricercatore di Bitdefender ha visto, tuttavia, potrebbe presto essere lanciato contro società di telecomunicazioni negli Stati Uniti e a Hong Kong. I truffatori potrebbero anche essere orientati verso le aziende del settore finanziario e le organizzazioni che si occupano di istruzione e ricerca scientifica.

Le due nuove aggiunte rappresentano le ultime di una lunghissima serie di aggiornamenti che gli operatori di Trickbot hanno aggiunto al loro malware. Possiamo solo indovinare quale direzione prenderà il prossimo trojan, ma possiamo essere abbastanza sicuri che rimarrà uno dei preferiti dai criminali informatici.