Il trojan bancario Trickbot si è evoluto negli ultimi cinque anni in un tool multifunzione per i criminali informatici.

Dall’ottobre 2016, quando le soluzioni di Kaspersky hanno riscontrato per la prima volta Trickbot (alias TrickLoader o Trickster), il trojan si trovava per lo più sui computer di casa e il suo obiettivo principale era quello di rubare le credenziali di accesso ai servizi bancari online.

Negli ultimi anni, tuttavia, i suoi autori hanno attivamente trasformato il trojan bancario in uno strumento modulare multifunzionale, rendendolo inoltre popolare tra i gruppi di criminali informatici come veicolo di consegna per l’inserimento di malware di terze parti nelle infrastrutture aziendali.

Recentemente vari enti hanno infatti riferito che gli autori di Trickbot si sono uniti a vari nuovi partner per far sì che il malware infettasse le infrastrutture aziendali con tutti i tipi di minacce aggiuntive, come il ransomware Conti.

La sua presenza, quindi, potrebbe indicare un tentativo di inserimento del ransomware o addirittura parte di un’operazione mirata di cyber-spionaggio.

Gli esperti di Kaspersky sono stati in grado di scaricare i moduli del Trojan da uno dei server C&C e analizzarli a fondo.

Cosa può fare adesso Trickbot

L’obiettivo principale del moderno Trickbot è quello di penetrare e diffondersi nelle reti locali. I suoi operatori possono poi usarlo per varie funzioni, dal rivendere l’accesso all’infrastruttura aziendale a terzi attaccanti, al rubare dati sensibili. Di seguito le funzionalità attuali del malware:

  • Raccogliere nomi utente, hash di password e altre informazioni utili per il movimento laterale nella rete da Active Directory e dal registro;
  • Intercettare il traffico web sul computer infetto;
  • Fornire il controllo remoto dei dispositivi tramite il protocollo VNC;
  • Rubare i cookie dai browser;
  • Estrarre le credenziali di accesso dal registro, dai database di varie applicazioni e dai file di configurazione, così come rubare chiavi private, certificati SSL e file di dati per i wallet di criptovalute;
  • Intercettare i dati di compilazione automatica dai browser e le informazioni che gli utenti inseriscono nei moduli sui siti web;
  • Scansione di file su server FTP e SFTP;
  • Incorporare script dannosi nelle pagine web;
  • Reindirizzare il traffico del browser tramite un proxy locale;
  • Hackerare le API responsabili della verifica della catena dei certificati in modo da falsificare i risultati della verifica;
  • Raccogliere le credenziali del profilo di Outlook, intercettare le e-mail e inviare spam;
  • Cercare il servizio OWA e realizzare un attacco di forza bruta;
  • Ottenere un accesso di basso livello all’hardware;
  • Fornire accesso al computer a livello dell’hardware;
  • Scansionare i domini per le vulnerabilità;
  • Trovare indirizzi di server SQL ed eseguire query di ricerca su di essi;
  • Diffondersi attraverso gli exploit EternalRomance e EternalBlue;
  • Creare connessioni VPN.

Le statistiche mostrano che la maggior parte dei rilevamenti di Trickbot nel 2021 sono stati registrati negli Stati Uniti, Australia, Cina, Messico e Francia ma ciò non esclude che altre regioni non possano essere prese di mira considerando la disponibilità dei suoi autori a collaborare con altri criminali informatici.

Per evitare che aziende cadano vittima di questo Trojan, gli esperti consigliano di dotare tutti i dispositivi che si collegano a Internet di una soluzione di sicurezza di alta qualità e di utilizzare, inoltre, servizi di monitoraggio delle minacce informatiche per rilevare attività sospette nell’infrastruttura dell’azienda.

 

https://www.kaspersky.it/blog/trickbot-new-tricks/25818/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE