Con un apposito report, il Microsoft's Security Intelligence ha avvisato gli utenti che, durante lo scorso fine settimana, gli operatori che gestiscono il malware TrickBot hanno iniziato a diffondere centinaia di migliaia di email a tema Coronavirus, sia in forma di alert sanitari che di informazioni relative ai test con tampone. Per fare un esempio, una delle forme più diffuse di questa email riferisce a fantomatiche organizzazioni umanitarie che si offrono per eseguire test gratuiti sul contagio: si invitano quindi gli utenti a scaricare l'allegato allegato all'email per ricevere ulteriori informazioni su come eseguire il test.
Al di là delle varianti, tutte queste email, diffuse in varie lingue, presentano lo stesso schema: un breve testo introduce la tematica Covid e cerca di indurre l'utente a scaricare ed aprire l'allegato contenente una macro.
Fonte: Microsoft Security Intelligence |
TrickBot: informazioni tecniche
Quella di Trickbot è una delle più famose famiglie di malware ancora in attività: ha debuttato come semplice trojan bancario, ma è stato più volte corretto e aggiornato, ricevendo l'implementazione di di numerose nuove funzionalità, fino a divenire uno dei malware più avanzati, ma anche uno dei più efficaci vettori di diffusione di altri malware.
Trickbot, infatti, distribuisce anche keylogger, trojan e ransomware sui computer che riesce a compromettere, dato che, tra le altre funzioni, ha anche quella di ottenere la persistenza sulla macchina infetta. Consente agli attaccanti anche di spostarsi lungo le reti infette, essendo dotato di exploit per la vulnerabilità EternalBlue. Inoltre ha funzionalità di botnet, quindi sfrutta i computer infetti anche per portare ulteriori attacchi e continuare a diffondere l'infezione.
Come visto anche in altre campagne recenti, la macro non si attiva subito, ma attente venti secondi prima di avviare il download del payload del malware: questo è un tentativo di evadere eventuali individuazioni e analisi da parte delle soluzioni di sicurezza presenti sulla macchina.
Nessun commento:
Posta un commento