lunedì 19 novembre 2018

In diffusione una nuova versione del famigerato trojan bancario Trickbot


E' stata individuata una nuova versione, molto particolare, di TrickBot, noto trojan bancario: questa versione infatti, oltre ovviamente a prendere di mira le credenziali bancarie/finanziarie della vittima, cerca anche i dati riguardanti l'affidabilità del sistema Windows e le informazioni sulle prestazioni. Microsoft infatti esegue un RAC (Reliability Analysis Component) sui sistemi operativi Windows per fornire informazioni sull'affidabilità del sistema enumerando dettagli riguardo le installazioni software, gli aggiornamenti, gli errori del sistema operativo e delle applicazioni, nonché i problemi hardware. 

Per tale scopo TrickBot usa le operazioni pianificate di RACagent su base oraria e scarica tutti i dati in una cartella locale. E' possibile disabilitare l'utilità di Pianificazione, ma non si otterrà più l'indice di stabilità del sistema.

La diffusione di Trickbot
Trickbot è attualmente in diffusione tramite una campagna di phishing evidentemente finalizzata a raccogliere più informazioni possibili dai sistemi operativi infetti, catturando i dati sia dal database di affidabilità del sistema operativo sia da C: \ ProgramData \ Microsoft \ RAC \.

Sotto un elenco dei file che il malware solitamente esporta (dal profilo Twitter del ricercatore di sicurezza James)


Le email fake
Questa campagna diffonde Trickbot con messaggi apparentemente provenienti dalla importante e riconosciuta Lloyds Bank, per la maggior parte inviate dall'indirizzo email fake donotreply@lloydsbankdocs.com, facilmente confondibile con una email genuina della banca. I cyber attaccanti hanno fatto molti sforzi per far apparire credibili le email fake: devono infatti creare un certo senso di urgenza nella vittime e indurle ad abilitare una macro dannosa incorporata nel documento allegato alla mail stessa. 

Il codice di TrickBot è contenuto proprio nella macro dannosa la quale, se abilitata, scarica ed esegue il malware.



Il documento Word allegato all'email include perfino la carta intestata di Lloyds Bank. Oltre a ciò i cyber criminali hanno aggiunto il logo di Symantec per far sembrare che il file abbia superato una qualche verifica di sicurezza da parte della popolare soluzione antivirus.


La nota positiva...
nonostante tutti gli sforzi dei cyber criminali per camuffare la macro dannosa e rendere credibile l'email, il file in questione viene individuato da circa 30 motori antivirus su VirusTotal.

Per approfondire...
TrickBot diviene la minaccia più pericolosa per le aziende - by Quick Heal Security Labs
Pubblicato da alle
Etichette: , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)