TrickBot in questo momento è il malware che compare nel maggior numero di e-mail di phishing che utilizzano la pandemia COVID-19 come esca per indurre le vittime ad aprire file allegati o collegamenti dannosi, secondo Microsoft.
Gli esperti di sicurezza di Microsoft hanno affermato, attraverso una serie di tweet, di aver trovato diverse centinaia di allegati di documenti con macro dannose uniche nelle e-mail di phishing che si presentano come un messaggio di un’organizzazione no profit che offre un test COVID-19 gratuito. Tutti contenevano malware TrickBot: “Basato su dati ATP di Office 365, Trickbot è l’operazione malware più prolifica che utilizza esche a tema COVID-19”, secondo il tweet pubblicato.
All’inizio di aprile, il vice presidente di Microsoft 365 Security, Rob Lefferts, ha comunicato che le famiglie di malware alla moda e pervasive Trickbot sono molto attive e rinominano le loro esche per approfittare dell’epidemia. Nello stesso post sul blog, Lefferts ha comunicato anche che i dati mostrano che “queste minacce a tema COVID-19 sono ricostruzioni di attacchi esistenti che sono stati leggermente modificati per legarsi a questa pandemia e che ciò significa che si sta assistendo ad un cambiamento delle esche, non a un’ondata di attacchi”. I ricercatori dell’azienda hanno anche individuato 76 varianti di minaccia utilizzando esche a tema COVID-19, con malware TrickBot che si presenta spesso.
Nei suoi tweet, Microsoft avverte che nelle campagne TrickBot osservate, le macro dannose nelle e-mail di phishing utilizzano un ritardo di 20 secondi prima di consegnare payload dannosi per eludere l’analisi e l’emulazione sandbox. Gli analisti della sicurezza hanno anche osservato altre campagne in cui TrickBot è combinato con altri malware, come Emotet e Ryuk.
TrickBot è una varietà di malware inizialmente sviluppata come malware bancario e continuamente aggiornata dai suoi autori con nuovi moduli e funzionalità. Anche se inizialmente veniva utilizzato solo per la raccolta e l’esfiltrazione di dati sensibili, TrickBot si è ora evoluto in un popolare malware che comprometterà ulteriormente i sistemi infetti fornendo altri payload, di solito molto più pericolosi.
