Esattamente cinque anni fa, nell’ottobre 2016, le nostre soluzioni hanno incontrato per la prima volta un Trojan chiamato Trickbot (alias TrickLoader o Trickster). Prima si trovava per lo più sui computer di casa, il suo compito principale era quello di rubare le credenziali di accesso ai servizi bancari online. Negli ultimi anni, tuttavia, i suoi creatori hanno attivamente trasformato il trojan bancario in uno strumento modulare multifunzionale.
Per di più, Trickbot è ora popolare tra i gruppi di criminali informatici come veicolo di consegna per l’inserimento di malware di terze parti nelle infrastrutture aziendali. Degli enti hanno recentemente riferito che gli autori di Trickbot si sono uniti a vari nuovi partner per far sì che il malware infettasse le infrastrutture aziendali con tutti i tipi di minacce aggiuntive, come il ransomware Conti.
Tale riproposizione potrebbe rappresentare un ulteriore pericolo per i dipendenti dei centri operativi di sicurezza aziendale e altri esperti di cybersecurity. Alcune soluzioni di sicurezza riconoscono ancora Trickbot come Trojan bancario, come era in origine. Pertanto, i funzionari di infosec che lo rilevano potrebbero vederlo come una minaccia casuale per un utente domestico che accidentalmente è entrato nella rete aziendale. In realtà, la sua presenza potrebbe indicare qualcosa di molto più serio, un tentativo di inserimento del ransomware o addirittura parte di un’operazione mirata di cyber-spionaggio.
I nostri esperti sono stati in grado di scaricare i moduli del Trojan da uno dei server C&C e analizzarli a fondo.
Cosa può fare Trickbot adesso
L’obiettivo principale del moderno Trickbot è quello di penetrare e diffondersi nelle reti locali. I suoi operatori possono poi usarlo per varie funzioni, dal rivendere l’accesso all’infrastruttura aziendale a terzi attaccanti, al rubare dati sensibili. Ecco cosa può fare ora il malware:
- Raccogliere nomi utente, hash di password e altre informazioni utili per il movimento laterale nella rete da Active Directory e dal registro;
- Intercettare il traffico web sul computer infetto;
- Fornire il controllo remoto dei dispositivi tramite il protocollo VNC;
- Rubare i cookie dai browser;
- Estrarre le credenziali di accesso dal registro, dai database di varie applicazioni e dai file di configurazione, così come rubare chiavi private, certificati SSL e file di dati per i wallet di criptovalute;
- Intercettare i dati di compilazione automatica dai browser e le informazioni che gli utenti inseriscono nei moduli sui siti web;
- Scansione di file su server FTP e SFTP;
- Incorporare script dannosi nelle pagine web;
- Reindirizzare il traffico del browser tramite un proxy locale;
- Hackerare le API responsabili della verifica della catena dei certificati in modo da falsificare i risultati della verifica;
- Raccogliere le credenziali del profilo di Outlook, intercettare le e-mail e inviare spam;
- Cercare il servizio OWA e realizzare un attacco di forza bruta;
- Ottenere un accesso di basso livello all’hardware;
- Fornire accesso al computer a livello dell’hardware;
- Scansionare i domini per le vulnerabilità;
- Trovare indirizzi di server SQL ed eseguire query di ricerca su di essi;
- Diffondersi attraverso gli exploit EternalRomance e EternalBlue;
- Creare connessioni VPN.
È possibile leggere una descrizione dettagliata dei moduli e degli indicatori di compromissione nel nostro post su Securelist.
Come proteggersi dal trojan Trickbot
Le statistiche mostrano che la maggior parte dei rilevamenti di Trickbot quest’anno sono stati registrati negli Stati Uniti, Australia, Cina, Messico e Francia. Questo non significa, tuttavia, che altre regioni siano al sicuro, soprattutto considerando la disponibilità dei suoi creatori a collaborare con altri criminali informatici.
Per evitare che la vostra azienda cada vittima di questo Trojan, vi consigliamo di dotare tutti i dispositivi che si collegano a Internet di una soluzione di sicurezza di alta qualità. Inoltre, potreste utilizzare servizi di monitoraggio delle minacce informatiche per rilevare attività sospette nell’infrastruttura dell’azienda.