Trickbot evolve ancora: aggiunto un nuovo modulo per il furto dei cookie

Il trojan Trickbot è una vecchia conoscenza: conosciuto anche come Trickster o TheTrick, ha debuttato sulle scene dal cyber crime esclusivamente come trojan bancario, ma è stato aggiornato continuamente con nuove funzioni, moduli e tecniche di offuscamento sempre più complesse. Inizialmente aveva solo funzionalità da trojan bancario "classico", ovvero la capacità di estrapolare dalla macchina infetta quante più informazioni finanziarie possibili. Recentemente ha "mutato pelle", diventando anche un malware dropper, capace cioè di scaricare sulle macchine compromesse anche altre famiglie di ransomware.

L'ultima evoluzione è stata individuata ieri: si tratta di un nuovo modulo, chiamato Cookie Grabber, il cui scopo è quello di rubare i cookie (piccoli file di testo che i siti web salvano nel browser per varie finalità, come ricordare lo stato di login, le preferenze, i contenuti personalizzati o per tracciare l'attività di navigazione degli utenti). 

Il nuovo modulo è stato individuato dal ricercatore di sicurezza Brad Duncan durante l'analisi di una nuova campagna di distribuzione di Trickbot iniziata il 1° Luglio: la sua attenzione è stata catturata dalla distribuzione di un file chiamato "cookiesDLL64". 

Credits: Brad Duncan

E' stato Duncan stesso a pubblicare un breve articolo con i dettagli del traffico generato da questo nuovo modulo di Trickbot su un host infetto con sistema operativo Windows. Tale modulo è molto particolare perchè è un add-on separato per il malware. 

Fonte: Bleepingcomputer.com

Andando in dettaglio, il modulo (la cui "build date" è il 27 Giugno) prende di mira i database di storage dei cookie di tutti i maggiori e più diffusi browser: Chrome, Firefox, Internet Explorer e Microsoft Edge. Va detto che anche in precedenza TrickBot mostrava capacità di furto dei cookie, ma mai come modulo a sé stante, con un proprio file di configurazione. Ciò significa che una volta che un host è stato infettato con il trojan TrickBot, l'attaccante può gestire Cookie Grabber indipendentemente da altre funzioni di furto informazioni e dati di cui TrickBot è dotato. 

"La vera domanda è perché gli attori dietro TrickBot abbiano sentito la necessità di approntare un modulo a sé stante che miri specificatamente ai cookie" afferma Alessandro Papini, presidente di Accademia Italiana Privacy ed esperto di sicurezza IT "Probabilmente si mira a raccogliere dati per profilare più dettagliatamente le vittime: se ciò è vero, dobbiamo aspettarci in un futuro piuttosto prossimo, campagne di diffusione molto più mirate ed insidiose sia di TrickBot che di altri malware in uso agli stessi attori".