Cosa rende la botnet TrickBot così pericolosa? Insieme ai trojan bancario Emotet (ormai reso innocuo) e Retefe, TrickBot è un pericolo per i computer. TrickBot e la botnet dietro a questo malware rappresentano una sfida per gli specialisti della sicurezza informatica.
TrickBot viene utilizzato dal 2016 dai criminali informatici per infiltrarsi nei computer al fine di spiare dati privati riservati. Le vittime di questi attacchi informatici includono non solo aziende, ma anche singoli cittadini. La portata e le capacità del malware sono cresciute considerevolmente dalla sua scoperta nel 2016. L'attenzione non è più solo sul furto di dati: TrickBot è ora anche in grado di modificare il traffico di rete e può allargare la propria diffusione. Una volta entrato in un sistema e infettato il computer, TrickBot lavora dietro le quinte per attirare ulteriore malware.
TrickBot è particolarmente pericoloso e dannoso a causa della sua capacità di mutare e dei numerosi plug-in che ora porta con sé. Come di consueto per un malware trojan, TrickBot è un maestro nel celarsi alla vittima. Può essere rilevato ed eliminato solo prestando molta attenzione e utilizzando i migliori software di sicurezza, come Kaspersky Anti-Virus.
Come si diffonde il trojan bancario TrickBot
Inizialmente, TrickBot apriva un varco nel sistema tramite e-mail di phishing. Il sistema comporta l'invio di e-mail false e ingannevoli, apparentemente da istituzioni e aziende note, accompagnate da un allegato. Alle vittime di un attacco TrickBot viene richiesto nell'e-mail di aprire l'allegato o il collegamento, esponendosi all'infezione. L'apertura degli allegati provoca il download del malware. Un'infezione da TrickBot può anche verificarsi, ad esempio, tramite aggiornamenti dannosi o tramite malware già presente sul dispositivo. Una volta che il malware penetra nel computer ed è in condizione di memorizzare i dati dell'utente, uno dei suoi obiettivi principali sarà di non farsi rilevare il più a lungo possibile.
Come funziona un attacco TrickBot?
In un attacco TrickBot, vengono prima terminati i servizi Windows e le attività di Windows Defender o di altri software anti-virus. Vengono quindi utilizzati vari metodi per estendere i privilegi. I diritti amministrativi risultanti possono essere utilizzati da ulteriori plug-in, che il malware carica automaticamente. Successivamente, TrickBot spia sia il sistema che le reti, e raccoglie i dati dell'utente. Le informazioni raccolte dal malware vengono poi inoltrate a dispositivi esterni o ai criminali informatici dietro l'attacco.
Quali sono le conseguenze del trojan bancario per la vittima e per il dispositivo finale?
Il virus "Win 32/TrickBot.AK" fa sì che i dati vengano archiviati senza il consenso dell'utente e spia l'utente del dispositivo finale. Un modo per accedere ai dati può essere, ad esempio, tramite campi di testo falsi visualizzati dal malware stesso. TrickBot non memorizza le sequenze di tasti né registra schermate. Il trojan è in grado di connettersi a un server remoto e appartiene a un gruppo di malware automatizzati chiamato botnet. TrickBot non influisce sulle prestazioni del laptop né fa sì che non risponda ai comandi. TrickBot può, tuttavia, essere responsabile di attacchi DDoS (Distributed Denial of Service). In altre parole, un gran numero di richieste mirate da un gran numero di computer porta all'interruzione di un servizio. Altre funzionalità del malware TrickBot includono il download di malware su computer infetti, l'auto-diffusione e la creazione di punti di attacco per gli hacker.
Rilevamento di TrickBot e rimozione dei trojan bancari
Per rilevare un'infezione da TrickBot, è necessario essere vigili. Possibili segni di un'infezione da malware possono essere, ad esempio, tentativi di accesso non autorizzati ad account online. Le vittime di un attacco a volte vengono allertate da un cambiamento nell'infrastruttura di rete. Un'indicazione successiva e fatale di un'infezione da malware può anche essere un bonifico bancario effettuato a propria insaputa. Il malware può camuffarsi da processo informatico legittimo o da file ordinario. Ciò lo rende praticamente inosservabile: passare semplicemente all'eliminazione di file sospetti può causare danni irreparabili al computer. Poiché TrickBot è un trojan che ruba dati, il danno dovrebbe essere riparato il prima possibile. I prodotti anti-malware come quelli di Kaspersky sono il modo ottimale per farlo. Sia il rilevamento di un'infezione TrickBot che la rimozione del trojan bancario richiedono molto tempo.
Stuffing delle credenziali: le conseguenze di un attacco TrickBot
Come già accennato, TrickBot mira a rubare i dati di accesso e quindi si impegna in ciò che è noto come stuffing delle credenziali. Lo stuffing delle credenziali (o "imbottimento") è un metodo utilizzato dai criminali informatici per appropriarsi degli account online. Gli obiettivi principali del trojan TrickBot erano inizialmente soprattutto istituti finanziari, come le banche. I criminali informatici ottengono l'accesso non autorizzato agli account personali rubando credenziali private. Queste verranno poi usate, ad esempio, per effettuare bonifici bancari. Oltre a password e nomi utente, TrickBot è anche in grado di accedere alle informazioni di riempimento automatico del browser, nonché alla cronologia e ai cookie memorizzati.
Conseguenze tipiche di un attacco TrickBot
Le vittime degli attacchi TrickBot di solito devono affrontare una serie di conseguenze. Da un lato, i loro account vengono rilevati dai criminali informatici. Dopo di che questi di solito richiedono un riscatto per il rilascio degli account o dei file. Infine, ma non meno importante, il ransomware può diffondersi ad altri file sui dispositivi infetti.
Contrastare TrickBot: come proteggersi al meglio da un attacco
- Usate un software antivirus professionale o uno scanner per trojan.
- Fate attenzione quando controllate le e-mail di spam. Evitate di aprire e-mail sospette o dall'aspetto dubbioso e relativi allegati. Informate i dipendenti che non devono in alcun caso dare il proprio consenso all'attivazione delle macro.
- Il software nei computer dovrebbe essere sempre aggiornato.
- Prestate attenzione durante l'aggiornamento del software.
- Utilizzate fornitori ufficiali anziché fornitori di terze parti e rifiutate i pacchetti aggiuntivi durante il download.
Nonostante le innumerevoli misure precauzionali, c'è sempre il rischio residuo che un trojan potrebbe infettare il computer. Pertanto, non trascurate i backup regolari dei dati.
TrickBot in combinazione con altri malware
Emotet, TrickBot e Ryuk: una combinazione fatale per i dati
Dice la canzone "erano sempre in tre... " e qui non parliamo di briganti, ma di tre malware combinati: Trickbot, Emotet e Ryuk. La combinazione di questi tre malware è particolarmente pericolosa, tanto da far sembrare del tutto innocuo il danno causato da un singolo attacco TrickBot. I tre programmi lavorano insieme senza soluzione di continuità e così facendo arrecano il massimo del danno. Emotet rappresenta l'inizio dell'infestazione e svolge i classici compiti di un trojan, aprendo la porta a TrickBot e Ryuk, i veri colpevoli. Nella fase successiva, TrickBot viene utilizzato dagli aggressori per ottenere informazioni sul sistema infetto e per distribuirsi nella rete nel miglior modo possibile. Nell'ultimo passaggio, il cripto-trojan Ryuk viene inserito nel maggior numero possibile di sistemi e cripta il disco rigido, secondo i dettami del ransomware. Nel mentre, vengono eliminati anche eventuali backup dei dati, se scovati dal malware.
TrickBot e IcedID: un team trojan bancario di particolare efficienza
TrickBot non appare solo in questa combinazione. La combinazione di TrickBot e IcedID è ugualmente pericolosa. Questi due trojan bancari insieme sferrano un attacco ancora più mirato ai dati bancari. Il malware IcedID viene trasmesso alla vittima tramite malspam, ad esempio. Quando viene aperto, avvia il download del malware TrickBot. TrickBot può quindi svolgere le sue consuete attività di spionaggio e scoprire che tipo di frode finanziaria può perseguire.
TrickBot e Windows Defender
Malware come TrickBot, nel tempo, hanno trovato il modo di eludere il rilevamento di Windows Defender. La particolarità di TrickBot, tuttavia, è che non solo è in grado di agire inosservato, ma arriva persino a disabilitare del tutto Windows Defender.
Riepilogo
TrickBot rappresenta una minaccia per i computer a causa della sua attività principale: il furto di credenziali. Inoltre, la sua mutevolezza e i numerosi plug-in che porta con sé lo rendono un ospite impopolare su qualsiasi dispositivo finale. Gli attacchi TrickBot sono particolarmente fatali quando si verificano in combinazione con altri malware. Ciò rende ancora più importante rilevare il malware il prima possibile con un eccellente software di sicurezza e un alto livello di attenzione. Così facendo sarà possibile sbarrare l'ingresso a ulteriori malware.