lunedì 13 luglio 2020

Anche i cyber criminali sbagliano: TrickBot avvisa gli utenti dell'infezione e si fa scoprire


Per i cyber attaccanti è fondamentale che i malware restino più a lungo possibile non individuati una volta che infettano una macchina. Sono studiate e messe in pratica centinaia di differenti tecniche per ottenere i privilegi di amministrazione senza che un utente se ne accorga, per offuscare il codice del malware lasciando nascoste agli antivirus le porzioni di codice dannoso ecc...  Un malware che avvisa un utente di averlo infettato, a meno che non si tratti di un ransomware che manifesta la sua presenza nel sistema a fini estorsivi, è un vero paradosso. E infatti la nuova versione di TrickBot che avvisa l'utente dell'infezione configura un paradosso, ma è frutto di un errore piuttosto stupido dei suoi sviluppatori.

In dettaglio gli amministratori del malware hanno lasciato attivo un modulo di test che visualizza un alert che invita perfino a contattare l'amministratore di rete per affrontare il problema. Il contrario di quello che fa Trickbot di solito: infetta l'utente via email, poi si esegue nella maniera meno appariscente possibile sul computer, mentre scarica più moduli per eseguire differenti azioni dannose sul sistema, dal furto di password e cookie dai browser, al furto di chiavi OpenSSH fino alla diffusione laterale lungo la rete. Oltretutto gli sviluppatori di Trickbot guadagnano anche "affittando" le backdoor che lasciano aperte sulle reti a ransomware del calibro di Ryuk e del nuovo Conti. Insomma, se TrickBot avvisa della sua presenza su un sistema esegue un autogol da più punti di vista. 

La nuova versione e il modulo test
La nuova versione è stata analizzata dal ricercatore di sicurezza Vitali Kremez, che è rimasto profondamente stupito dal trovarsi avvisato dell'infezione appena avvenuta (qui il report completo per i più curiosi).


Il problema (per i cyber attaccanti) risale nell'aver diffuso una versione che contiene un modulo per il furto password chiamato grabber.dll che è però ancora in fase di test: una volta caricato, è proprio questo il modulo che visualizza l'alert nel browser predefinito sul sistema, avvisando dell'avvio della raccolta e furto di informazioni. Kremez ha voluto approfondire proprio perchè aveva letto già centinaia di segnalazioni di utenti che si erano ritrovati a visualizzare l'alert senza capirne il motivo, notando come questo però non sembrasse una comunicazione ufficiale del browser. 

Il modulo grabber.dll è uno di quelli più importanti per il malware, dato che è quello che deve occuparsi del furto di credenziali e cookie da browser come Chrome, Edge, Internet Explorer e Firefox: una volta che si attiva, gli attaccanti ricevono tutte le password salvate e possono quindi accedere a tutti gli account della vittima. Ma ha anche altre funzionalità: Kremez ha scoperto, incorporato nella libreria, un documento che spiega il funzionamento del modulo, altra grave dimenticanza degli attaccanti. Così ha scoperto che grabber.dll può estrarre anche l'elenco delle ricerche fatte tramite browser, può attaccare tutti i browser presenti sul sistema o sceglierne uno in particolare ecc...

Insomma, se ne deduce che gli autori di TrickBot stanno testando un nuovo e più efficace modulo per il furto di informazioni, ma quando lo hanno diffuso online si sono dimenticati di ripulirne il codice lasciando informazioni riservate alla versione di test. Il consiglio di Kremez per coloro che dovessero visualizzare questo alert è quello di disconnettere immediatamente il dispositivo dalla rete ed eseguire scansioni coi software di sicurezza: una volta ripulito il dispositivo (e solo dopo!) è consigliabile sostituire tutte le password. 

In caso di dispositivi in ambiente aziendale è possibile che vi siano altri sistemi compromessi, quindi il team di sicurezza IT dovrebbe avviare una investigazione a livello dell'intera rete. 

Nessun commento:

Posta un commento