Due trojan bancari -Emotet e Trickbot- hanno aggiunto componenti di auto-diffusione per aumentare le proprie possibilità di infettare quante più macchine possibile entro la stessa rete.
E' una novità perché, fino ad oggi, i trojan bancari non hanno implementato moduli di auto diffusione nel tentativo di rimanere più a lungo possibile non individuati nei dispositivi infetti e di poter rubare informazioni senza dare possibilità alle vittime di rendersene conto. Il successo di WannaCry e, poco dopo di Not Petya, entrambi con moduli di auto-diffusione che hanno permesso loro la virulenza per i quali sono diventati famosi, hao fatto tornare in voga le componenti worm.
Emotet
Il primo trojan bancario dotato di componenti di self-spreading ad essere individuato è stato Emotet.
Questo trojan scarica un file .RAR auto-estraente nel dispositivo infetto e lo usa per cercare e ottenere l'accesso alle risorse della rete locale: esegue un attacco di brute-force per eseguire il login. Questo è il modulo di auto-diffusione del trojan, che non va confuso con la componente di propagazione: il modulo di propagazione si basa sull'estrazione di contatti dai client di posta elettronica per diffondere il trojan via email di spam non dentro una rete, ma in nuove reti. |
| I file contenuti nell'archivio .RAR Fonte: www.fidelissecurity.com |
Attualmente questo trojan è una delle minacce principali perché è molto attivo: è finalizzato al furto di credenziali per accedere agli account bancari e sottrarre denaro usando attacchi Man-in-the-Browser. Il trojan raccoglie anche informazioni e credenziali sui social e, talvolta, scarica nella macchina infetta anche altri malware.
TrickBot
Il secondo trojan bancario individuato con meccanismi di self-spreading è TrickBot (leggi qui ulteriori info), balzato alle cronache perché giusto lo scorso mese ha bersagliato utenti PayPal e non solo. Trickbot viene diffuso tramite massive campagne di spam diffuse dalla botnet Necurs (ne abbiamo già parlato qui): la versione individuata settimana scorsa ha un nuovo modulo worm SMB pensato per diffondere il trojan nei computer entro la stessa rete.
L'unica buona notizia, per ora, è che questo modulo non è ancora del tutto implementato.
L'unica buona notizia, per ora, è che questo modulo non è ancora del tutto implementato.
La cattiva notizia è che gli autori di TrickBot hanno costantemente implementato le capacità del trojan: questo fa pensare che l'implementazione completa del modulo SMB worm non richiederà molto tempo.
Nessun commento:
Posta un commento