Siamo nuovamente a parlare di TrickBot, non solo perché a intervalli irregolari viene diffuso anche in Italia (principalmente contro aziende ed enti pubblici), ma anche perché continua ad essere una delle più longeve e costanti minacce a livello mondiale.
TrickBot: un pò di storia, in breve
Anzitutto TrickBot è un malware per il furto di informazioni che, tra le altre cose, offre servizi ad altri malware: quando infetta un dispositivo, oltre a rubare le informazioni, installa backdoor che poi sono messe a disposizione di altri malware per infettare lo stesso dispositivo con altre minacce.
E' considerato l'evoluzione del trojan bancario Dridex, infatti la sua funzione primaria è il furto di credenziali bancarie. Si è poi evoluto costantemente, divenendo nei fatti una minaccia polimorfica composta da diversi moduli, ognuno dei quali responsabile di differenti funzioni di compromissione: una delle più recenti funzioni chiave che vi sono state aggiunte è la possibile di propagarsi da un client Windows infetto a un Domain Controller vulnerabile.
Il 6 Marzo c'è stata l'ultima campagna di massa di diffusione contro utenti italiani: è stata una delle molteplici campagne che hanno sfruttato il tema Covid come copertura.
Per approfondire >> Campagna di email di spam a tema Coronavirus contro utenti italiani: non solo furto dati, ma anche ransomware
Per approfondire >> Campagna di email di spam a tema Coronavirus contro utenti italiani: non solo furto dati, ma anche ransomware
A fine Marzo 2020 c'è stata una importante novità: i suoi operatori hanno sviluppato TrickMo, un'applicazione dannosa per Android pensata appositamente per bypassare l'autenticazione a due fattori nei sistemi di pagamento online.
Per approfondire >> TrickBot bypassa la protezione 2FA per il banking online tramite app mobile
L'update di Aprile 2020: il modulo "nworm"
Non c'è da stupirsi se questo malware diviene sempre più pericoloso: è uno dei più attivi nel panorama delle cyber minacce, ma anche uno sui quali i propri operatori investono di più. Update e modifiche avvengono non a cadenza regolare, ma sicuramente a ritmo molto serrato.
Poco meno di un mese e mezzo dopo la comparsa di TrickMo infatti, i ricercatori di Palo Alto Network hanno individuato una versione di TrickBot con un modulo mai visto, chiamato appunto "nworm". Intanto una prima caratteristica: nworm non lascia alcuna traccia sul Domain Controller infetto, semplicemente scompare dopo il reboot o lo shutdown.
Questa funzionalità worm fa si che, a partire dal file dannoso iniziale (il loader) che viene salvato sul disco del sistema Windows infetto, vengano scaricati ulteriori moduli per la propagazione sulla rete interna e trasmessi al Domain Controller vulnerabile tramite il protocollo SMB. A questo punto si attiva un file binario criptato che viene eseguito direttamente nella RAM: impossibile individuarlo, non solo perchè protetto dalla criptazione, ma anche perchè non necessita di essere salvato in locale, funzionando direttamente nella memoria volatile.
Ovviamente questo comporta un limite per il malware stesso, ovvero la perdita della persistenza sul sistema: ma forse non è un vero e proprio limite dato che i domain controller vengono riavviati o spenti molto molto raramente. Sfruttando quindi questa particolarità dei Domain Controller, TrickBot può rimanere attivo e indisturbato sui sistemi infetti per lungo tempo senza la necessità della persistenza. L'esecuzione in RAM e la criptazione del file binario ne rendono poi molto difficile l'individuazione.
Ovviamente questo comporta un limite per il malware stesso, ovvero la perdita della persistenza sul sistema: ma forse non è un vero e proprio limite dato che i domain controller vengono riavviati o spenti molto molto raramente. Sfruttando quindi questa particolarità dei Domain Controller, TrickBot può rimanere attivo e indisturbato sui sistemi infetti per lungo tempo senza la necessità della persistenza. L'esecuzione in RAM e la criptazione del file binario ne rendono poi molto difficile l'individuazione.
Mettersi al riparo: i consigli dello CSIRT
Il Computer Security Incident Response Team - Italia (CSIRT) ha fornito alcune indicazioni per mettere i Domain Controller e le macchine Windows al sicuro. Oltre ovviamente a mantenere aggiornati software e firmware per minimizzare il rischio di attacco, è consigliato l'inserimento dei seguenti Indicatori di Compromissione
URL:
hxxp://107.172.221[.]106/ico/VidT6cErs
hxxp://107.172.221[.]106/images/cursor.png
hxxp://107.172.221[.]106/images/imgpaper.png
hxxp://23.95.227[.]159/ico/VidT6cErs
hxxp://23.95.227[.]159/images/cursor.png
hxxp://23.95.227[.]159/images/imgpaper.png
IP:
107.172.221[.]106
23.95.227[.]159
Tutti gli indicatori nel relativo alert dello CSIRT.
Nessun commento:
Posta un commento