29 Maggio 2020 - Tempo di lettura: 12 minuti
Il malware Trickbot è stato aggiornato con un nuovo metodo di propagazione che lo rende ancora più difficile da rilevare.
Iniziare la vita come un trojan bancario, Trickbot è emerso per la prima volta nel 2016, ma negli anni da quando è stato ripetutamente riproposto per altri mezzi tra cui essere utilizzato come un vero ladro di informazioni, oltre a fornire accesso backdoor a macchine infette, abilitando il cyber gruppi criminali che lo utilizzano come gateway per la consegna di altro malware su reti già compromesse.
Trickbot può anche fungere da botnet per diffondersi ad altre vittime, usando comunemente campagne di spam e-mail di spam per distribuire allegati dannosi che lo eseguono su un computer Windows se aperto. Una volta eseguito su una macchina, Trickbot può anche sfruttare la vulnerabilità di EternalBlue per spostarsi lateralmente in una rete.
Ora i ricercatori di Palo Alto Networks hanno dettagliato l'ultimo aggiornamento di Trickbot, uno che fornisce un metodo migliore per eludere il rilevamento, attivo da aprile.
Trickbot è modulare, consentendo ai suoi autori di aggiungere o rimuovere facilmente funzionalità ed è questo che ha permesso di apportare facilmente le ultime modifiche.
Un modulo chiamato Mworm è stato responsabile per aiutare a diffondere Trickbot dal settembre dello scorso anno, ma ora è stato sostituito con un nuovo modulo - Nworm. I ricercatori lo hanno notato quando è apparso su un client Windows 7 infetto e hanno notato che altera notevolmente il traffico HTTP di Trickbot.
Ora, quando Trickbot infetta un controller di dominio, il malware viene eseguito dalla memoria assicurando che nessun artefatto venga lasciato indietro su una macchina infetta, rendendo più difficile il rilevamento.
Oltre a ciò, il binario utilizzato da Nworm viene crittografato quando trasferito su Internet, il che aiuta anche a nascondere le azioni del malware.
"Questo è l'ultimo di una serie di cambiamenti in TrickBot mentre si evolve nel nostro attuale panorama delle minacce", ha affermato Brad Duncan, analista di intelligence sulle minacce presso la divisione di ricerca Unit 42 di Palo Alto Networks.
A marzo, gli autori di Trickbot hanno aggiunto funzionalità che sembrano progettate per aiutare a condurre lo spionaggio informatico contro obiettivi specifici, inclusi fornitori di telecomunicazioni, università e servizi finanziari.
Ma nonostante la potente natura di Trickbot, le organizzazioni possono fare molto per proteggersi da esso.
"Le migliori pratiche di sicurezza come l'esecuzione di versioni completamente aggiornate di Microsoft Windows ostacoleranno o prevederanno le infezioni da Trickbot", ha affermato Duncan.
EternalBlue, la vulnerabilità di Windows che ha alimentato il ransomware WannaCry, costituisce una parte fondamentale del modo in cui Trickbot si diffonde, ma nonostante una patch sia stata rilasciata più di tre anni fa, i cyber criminali continuano a sfruttarla perché ci sono organizzazioni che non l'hanno ancora applicato ai loro reti.
Applicando gli aggiornamenti di sicurezza man mano che arrivano, le organizzazioni possono evitare di cadere vittime di Trickbot e di altre campagne di hacking dannoso che sfruttano vulnerabilità note che a volte hanno anni.