Abbiamo già parlato alcune volte di TrickBot, uno dei trojan bancari più diffusi. TrickBot è un trojan che si diffonde sopratutto tramite l'exploit kit Rig, impiegato nell'ambito di campagne di malvertising. Più recentemente è stato riscontrato in distribuzione tramite la botnet Necurs. Ovviamente è diffuso anche tramite email di spam.
Un pò di storia
TrickBot è un trojan bancario individuato nell'Autunno del 2016 e la maggior parte degli esperti è convinta che sia stato sviluppato dallo stesso gruppo che aveva prodotto e distribuito il trojan bancario Dyre (oggi defunto). Sicuramente dietro a questo trojan c'è un gruppo che ha grande esperienza: il codice del trojan infatti è una sommatoria di pezzi di codice che hanno, mano a mano, ampliato le funzioni stesse del trojan, rendendolo un trojan unico, con una grande quantità di differenti possibilità di azione.
In pochissimi mesi la capacità di TrickBot di colpire le banche online è aumentata ed è andata di pari passo col "debutto internazionale": dall'Australia, terra di prima diffusione del trojan, oggi TrickBot viene distribuito in tutti i continenti. Attualmente TrickBot può infettare i singoli utenti e dirottarli verso pagine fake: le vittime vengono condotte verso portali falsi delle proprie banche e, inserendo i dati per il login, non fanno altro che rivelarli agli attaccanti.
Le novità...
come detto TrickBot è un trojan in continuo aggiornamento.
Nel mese di Giugno TrickBot ha ricevuto il suo più importante update, acquisendo la capacità di attaccare gli account PayPal e le pagine di login di moltissimi e noti CRM (applicazioni web usati in ambiente aziendale). Un mese dopo, a Luglio, ha aggiunto al trojan una componente worm di self-spreading (vedi qui). L'update di Agosto ha aggiunto una nuova sezione nei file di configurazione del trojan, dove sono contenute le informazioni per reindirizzare verso false pagine di login chiunque visiti col suo browser il sito Coinbase.com.
come detto TrickBot è un trojan in continuo aggiornamento.
Nel mese di Giugno TrickBot ha ricevuto il suo più importante update, acquisendo la capacità di attaccare gli account PayPal e le pagine di login di moltissimi e noti CRM (applicazioni web usati in ambiente aziendale). Un mese dopo, a Luglio, ha aggiunto al trojan una componente worm di self-spreading (vedi qui). L'update di Agosto ha aggiunto una nuova sezione nei file di configurazione del trojan, dove sono contenute le informazioni per reindirizzare verso false pagine di login chiunque visiti col suo browser il sito Coinbase.com.
Coinbase.com è attualmente uno dei più grossi servizi di gestione dei portafogli di criptovaluta.
Perchè questo upgrade?
Considerando che venerdì scorso un Bitcoin valeva 5.000 dollari e che, da allora, si è stabilito intorno ad un prezzo di 4.500 dollari, si capisce molto facilmente perché coinbase.com sia un boccone prelibato per i truffatori. In ogni caso, per ora, TrickBot non può fare altro che rubare le credenziali per accedere ai portafogli di Bitcoin: qui la fa da padrone Dridex, un altro trojan che lo scorso anno è stato testato per scaricare e rubare i dati provenienti da applicazioni di gestione dei portafogli Bitcoin installate localmente.
Che lo scenario sia sempre più fosco, in termini di sicurezza, è da immaginarselo per due ordini di motivi: la sempre maggiore diffusione dell'uso della criptovaluta e l'aumento dei prezzi della stessa.
Nessun commento:
Posta un commento