EternalBlue è un exploit kit del protocollo SMB v.1 balzato agli onori delle cronache in quanto mezzo di diffusione delle infezioni di massa dei Ransomware WannaCry e Petya.
Data l'efficacia dimostrata, come era da aspettarsi, EternalBlue è stato scelto come strumento di diffusione di altri malware, ad esempio alcuni trojan bancari: Emotet e Trickbot sono stati primi della lista. EternalBlue consente infatti a questi trojan la diffusione anche verso altri PC di una stessa rete interna, proprio secondo la tecnica di diffusione tipica dei worm (per approfondire, vedi qui).
La lista dei trojan bancari che implementano EternaBlue si è allungata proprio in questi giorni, con l'individuazione del trojan bancario Retefe.
Retefe e EternaBlue
Secondo i ricercatori di ProofPoint, che hanno individuato questo trojan, Retefe ha iniziato ad usare
EternalBlue come componente della propria routine di infezione a partire dal 5 Settembre. La finalità è sempre la stessa: consentire all'attaccante di allargare l'infezione da una prima macchina target fino a tutte le altre, nella stessa rete, che presentano i servizi SMB v.1 non aggiornati: nonostante infatti la patch per risolvere la vulnerabilità sfruttata da EternalBlue sia in diffusione ormai da mesi (e ben prima della diffusione di WannaCry), ancora sono moltissime le macchine che presentano questa vulnerabilità. Una analisi più approfondita ha mostrato come Retefe presenti una versione modificata del prof-of-concept di EternalBlue pubblicato su GitHub.
Retefe esiste ormai da tempo e del gruppo che lo gestisce si sa molto poco, a parte che preferisce attacchi su piccola scala alle massive campagne di spam a cui ci hanno abituati TrickBot o Dridex, altro storico banking trojan. Il gruppo preferisce colpire clienti di banche in nazioni come Austria, Svezia, Svizzera e Giappone: sono attivi dal 2013 e sono tra i pochissimi ad avere a disposizione anche la corrispondente versione per i MAC, chiamata Dok.
Qualche caratteristica...
Retefe è uno dei pochissimi trojan bancari ancora in circolazione che non usa l'hook del browser per iniettare false pagine di login nelle pagine dei siti legittimi. Al contrario è uno dei pochi trojan bancari ancora attivi che modifica le impostazioni del proxy sui computer attaccati, al fine di reindirizzare il traffico verso siti web ospitati sui server sotto controllo degli attaccanti e che simulano siti originali. La maggior parte di questi server sono archiviati nel Dark Web, cosa che rende quasi impossibile individuare i reali autori del trojan.
Retefe "ama" la Svizzera
Visto che Retefe attacca utenti mirati, cerca vittime potenzialmente molto remunerative e lo fa sopratutto mirando ai clienti delle banche svizzere. Il CERT svizzero segue quindi da molto tempo e con grande attenzione questo banking trojan: qui è consultabile (in inglese) il loro report su Retefe, sicuramente il più approfondito per ora in diffusione.
Come difendersi da EternaBlue?
Come difendersi da Retefe, Emotet, TrickBot e così via passa dalla risoluzione della vulnerabilità nel protocollo SMB v.1 sfruttata da EternaBlue. Segnaliamo che esiste un tool utile a verificare la presenza della vulnerabilità. Il tool può essere usato per la scansione della propria rete locale, ma non solo: può essere usato per scansire ogni rete in Internet. Per ora è un tool usabile solo da tecnici, ma l'autore stesso lo sta semplificando sperando di poterne approntare una versione accessibile anche ai non professionisti.
Potete trovarne qui una presentazione e il link per il download gratuito
Nessun commento:
Posta un commento