100. La nuova versione di TrickBot individuata in diffusione qualche giorno fa segna un "bel" traguardo per la cybergang dietro questo malware: è la 100° versione, rivista e migliorata soprattutto per quanto riguarda le funzionalità di evasione delle individuazioni.
TrickBot in breve
TrickBot è un malware che viene comunemente diffuso tramite email di phishing o altri malware. Una volta installato, si esegue in background sul computer della vittima e inizia, silenziosamente, a scaricare alcuni moduli per eseguire differenti compiti: è quello che viene definito, in gergo tecnico, un malware modulare, dove ogni modulo è responsabile dell'esecuzione di una specifica funzione dannosa. Tra le attività eseguite da questi modulo ne troviamo alcune per il furto delle credenziali delle Active Directory, per la diffusione laterale nella rete, per lo screenlocking, per il furto dei cookie e delle credenziali salvate nelle password, per rubare le chiavi OpenSSH.
Scopo principale è comunque quello di raccogliere i dati sulle macchine infette e continuare a diffondersi il più possibile nella stessa rete, per poi rivendere l'accesso ottenuto ad altri cybercriminali per la distribuzione dei ransomware Ryuk e Conti.
Le (pessime) novità
Dopo l'attacco coordinato che Microsoft e i suoi partner hanno eseguito contro l'infrastruttura di TrickBot lo scorso mese, c'era forte speranza nella possibilità non tanto di "sconfiggere" il malware, ma almeno di riuscire ad impedirne per qualche tempo la diffusione, almeno per quello che i suoi gestori avrebbero impiegato a sostituire l'infrastruttura attaccata. Purtroppo le cose non sono andate affatto così, anzi il gruppo di attaccanti ha rilanciato mettendo in diffusione la nuova versione del malware.La nuova versione, individuata dal ricercatore di sicurezza Vitali Kremez, colpisce l'attenzione principalmente per le nuove funzionalità di evasione che rendono estremamente difficile per le soluzioni antivirus individuare un attacco alla rete e le attività dannose eseguite da TrickBot.
Ora TrickBot inietta le proprie DLL nell'eseguibile legittimo wermgr.exe (Windows Problem Reporting) direttamente dalla memoria usando codice proveniente dal progetto "MemoryModule".
"MemoryModule è una libreria che può essere usata per caricare una DLL completamente dalla memoria, senza alcuna necessità di ospitarla precedentemente in un disco" spiega la pagina GitHub del progetto.
 |
| Il codice del "MemoryModule" presente in TrickBot. Fonte: https://twitter.com/VK_Intel |
Inizializzato come eseguibile, TrickBot inietterà poi se stesso in wermgr.exe terminando il proprio l'eseguibile originale, come visibile sotto:
 |
| Fonte: https://twitter.com/VK_Intel |
Secondo quanto dichiarato da Kremez, quando la DLL viene iniettata, lo farà utilizzando il cosiddetto doppleganging, un sistema molto sofisticato che elude i rilevamenti dei software di sicurezza. Questa tecnica consente di raggruppare assieme, tramite le transazioni (che sono una funzionalità dell'NFTS), un insieme di azioni sul file system: se una di queste fallisce, si verifica un rollback completo. A questo punto il processo di iniezione genera una nuova transazione, all'interno della quale è creato un nuovo file contenente il payload dannoso. Il file viene mappato nel processo di destinazione e la transazione viene ripristinata. Il risultato? Il file dannoso scompare, come non fosse mai esistito, anche se il suo contenuto esiste eccome, entro la memoria del processo stesso.
Che dire, TrickBot pare proprio rinato dalle proprie ceneri e, purtroppo, più forte di prima: questo è un chiaro segno del fatto che i suoi sviluppatori non hanno alcuna intenzione di chiudere l'attività. Aziende ed utenti dovranno prestare doppia (se non tripla) attenzione agli allegati ricevuti ed aperti tramite email.
Nessun commento:
Posta un commento