mercoledì 27 febbraio 2019

Trojan bancario TrickBot: adesso ruba anche le credenziali di accesso da remoto


Il trojan bancario TrickBot non è certo nuovo, ma ci sono alcune novità: il modulo per il furto password di questo malware è stato recentemente aggiornato e la nuova versione è già in distribuzione. La nuova versione è stata individuata nel Gennaio 2019 e si è dimostrata essere una versione aggiornata di una variante già individuata in Novembre, la prima ad essere dotata di un modulo per il furto password di questo tipo.

Le credenziali sotto attacco sono quelle usate per autenticarsi ai server da remoto usando il Remote Desktop Protocol (RDP), VNC e PuTTY. 

Una complessa procedura di infezione
TrickBot, conosciuto anche come Trickster o TheTrick, ha debuttato sulle scene dal cyber crime esclusivamente come trojan bancario, ma è stato aggiornato continuamente con nuove funzioni, moduli e tecniche di offuscamento sempre più complesse. Inizialmente aveva solo funzionalità da trojan bancario "classico", ovvero la capacità di estrapolare dalla macchina infetta quante più informazioni possibili. Recentemente ha "mutato pelle", diventando anche un malware dropper, capace cioè di scaricare sulle macchine compromesse anche altre famiglie di ransomware.

L'aggiornamento del modulo per il furto password
I ricercatori di TrendMicro hanno prodotto un'analisi molto dettagliata della nuova versione di TrickBot: questa è stata riscontrata in attacchi reali nei quali il malware arriva sulle macchine target tramite email di spam recanti con se un allegato compromesso spacciato per documento fiscale. Gli allegati sono quasi esclusivamente fogli di calcolo Excel in formato XLSM contenenti macro dannose. 


La variante aggiornata ha subito l'implementazione, come dicevamo, di nuove funzioni nel modulo per il furto password, pensato per colpire le piattaforme VNC (Virtual Network Computing), PuTTY e Remote Desktop Protocol (RDP).

Credenziali di VNC
Per rubare le credenziali di VNC, il modulo per il furto password inizia la ricerca di file contenenti .vnc.lnk nel nome, nelle cartelle:
  • APPDATA%\Microsoft\Windows\Recent  
  • %USERPROFILE%\Documents, %USERPROFILE%\Downloads.

Credenziali PuTTY e RDP
Per quanto riguarda PuTTY, ricerca la chiave di registro in Software\SimonTatham\Putty\Sessions e usa poi l'API "CredEnumerateA" per individuare e rubare le credenziali salvate. Quindi analizza la stringa "target=TERMSRV" per identificare l'hostname, lo username e le password salvate per quanto riguarda le credenziali RDP. 

Per estrarre le credenziali che TrickBot è riuscito a raccogliere nella fase precedente, userà un comando POST configurato con l'aiuto di un file di configurazione chiamato dpost: questo file viene scaricato dal server di comando e controllo. 



TrickBot in breve: che cosa è e cenni sull'evoluzione
TrickBot è stato individuato nel Settembre del 2016: le prime analisi lo definirono immediatamente come erede di Dyre, un trojan bancario oggi quasi completamente dismesso. Il legame tra questi due trojan risultò evidente per la similarità di codice e funzioni, ma anche a partire dal loader, denominato TrickLoader in entrambi i casi.  

Luglio 2017: 
nell'Estate del 2017 fu individuata perfino una versione con comportamenti da worm: il modulo di propagazione di TrickBot era stato infatti implementato con EternalBlue, l'exploit del protocollo SMB che fu alla base della virulenza impressionante dei ransomware WannaCry e Petya. 

Gennaio 2018: 
TrickBot inizia ad essere usato come Access-As-A-Service da altri attori. Una volta che una macchina viene infettata da TrickBot  e diviene un bot, il malware crea una reverse shell per altri cyber attaccanti, consentendo loro di infltrarsi nel resto della rete e scaricare altri malware. 

Marzo 2018:
ennesimo update. Viene aggiunta una componente di blocco dello schermo (screenlocker), evento che ha indotto i ricercatori a prevedere per TrickBot anche un futuro come ransomware, laddove non dovesse arrivare a termine con successo l'esfiltrazione delle informazioni bancarie dalla macchina target.

Indicatori di compromissione
TrickBot 1:
- MD5 - b855b1b7b59668ad991cf0501e4ff4cb
Individuato da Quick Heal come Trojan.Mansabo

TrickBot 2:
- MD5 - 9b7484364dafc9435dae5823ff9d15f5
Individuato da Quick Heal come Trojan.Multi

Nessun commento:

Posta un commento