Questo nuovo aggiornamento del malware Trickbot rende ancora più difficile il rilevamento

Questo nuovo aggiornamento del malware Trickbot rende ancora più difficile il rilevamento

Il malware Trickbot è stato aggiornato con un nuovo metodo di propagazione che lo rende ancora più difficile da rilevare.

Iniziare la vita come un trojan bancario, Trickbot è emerso per la prima volta nel 2016, ma negli anni da quando è stato ripetutamente riproposto per altri mezzi tra cui essere utilizzato come un vero ladro di informazioni, oltre a fornire accesso backdoor a macchine infette, abilitando il cyber gruppi criminali che lo utilizzano come gateway per la consegna di altro malware su reti già compromesse.

Trickbot può anche fungere da botnet per diffondersi ad altre vittime, usando comunemente campagne di spam e-mail di spam per distribuire allegati dannosi che lo eseguono su un computer Windows se aperto. Una volta eseguito su una macchina, Trickbot può anche sfruttare la vulnerabilità di EternalBlue per spostarsi lateralmente in una rete.

Ora i ricercatori di Palo Alto Networks hanno dettagliato l'ultimo aggiornamento di Trickbot, uno che fornisce un metodo migliore per eludere il rilevamento, attivo da aprile.

Trickbot è modulare, consentendo ai suoi autori di aggiungere o rimuovere facilmente funzionalità ed è questo che ha permesso di apportare facilmente le ultime modifiche.

Un modulo chiamato Mworm è stato responsabile per aiutare a diffondere Trickbot dal settembre dello scorso anno, ma ora è stato sostituito con un nuovo modulo - Nworm. I ricercatori lo hanno notato quando è apparso su un client Windows 7 infetto e hanno notato che altera notevolmente il traffico HTTP di Trickbot.

Ora, quando Trickbot infetta un controller di dominio, il malware viene eseguito dalla memoria assicurando che nessun artefatto venga lasciato indietro su una macchina infetta, rendendo più difficile il rilevamento. 

Oltre a ciò, il binario utilizzato da Nworm viene crittografato quando trasferito su Internet, il che aiuta anche a nascondere le azioni del malware.

"Questo è l'ultimo di una serie di cambiamenti in TrickBot mentre si evolve nel nostro attuale panorama delle minacce", ha affermato Brad Duncan, analista di intelligence sulle minacce presso la divisione di ricerca Unit 42 di Palo Alto Networks.

A marzo, gli autori di Trickbot hanno aggiunto funzionalità che sembrano progettate per aiutare a condurre lo spionaggio informatico contro obiettivi specifici, inclusi fornitori di telecomunicazioni, università e servizi finanziari.

Ma nonostante la potente natura di Trickbot, le organizzazioni possono fare molto per proteggersi da esso.

"Le migliori pratiche di sicurezza come l'esecuzione di versioni completamente aggiornate di Microsoft Windows ostacoleranno o prevederanno le infezioni da Trickbot", ha affermato Duncan.

EternalBlue, la vulnerabilità di Windows che ha alimentato il ransomware WannaCry, costituisce una parte fondamentale del modo in cui Trickbot si diffonde, ma nonostante una patch sia stata rilasciata più di tre anni fa, i cyber criminali continuano a sfruttarla perché ci sono organizzazioni che non l'hanno ancora applicato ai loro reti.

Applicando gli aggiornamenti di sicurezza man mano che arrivano, le organizzazioni possono evitare di cadere vittime di Trickbot e di altre campagne di hacking dannoso che sfruttano vulnerabilità note che a volte hanno anni.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.