Gruppo TIM
Gruppo TIM

Il malware TrickBot

TrickBot (o “TrickLoader”) è un trojan bancario che prende di mira sia le aziende che i consumatori per i loro dati, come informazioni bancarie, credenziali dell’account, informazioni di identificazione personale (PII) e persino bitcoin.

Essendo un malware altamente modulare, può adattarsi a qualsiasi ambiente o rete in cui si trova.

 

Che cos’è il malware TrickBot?

I numerosi danni che questo Trojan ha fatto dalla sua scoperta, nel 2016, sono attribuiti alla creatività e all’abilità dei suoi sviluppatori.

Oltre al furto, è in grado di operare dei lateral movement e prendere piede all’interno di una rete interessata sfruttandone le vulnerabilità, propagare copie di sé stesso tramite condivisioni Server Message Block (SMB), eliminare altri malware come il ransomware Ryuk e cercare documenti e media file su macchine host infette.

 

La storia di TrickBot

TrickBot ha iniziato come banking information stealer. A TrickBot è stata attribuita la reputazione di essere il successore di Dyreza, un altro ladro di credenziali apparso per la prima volta nel 2014.

TrickBot condivideva somiglianze con Dyreza, come alcune variabili con valori simili e il modo in cui i creatori impostano i server di comando e controllo (C&C) con cui TrickBot comunica.

Ciò ha portato molti ricercatori a credere che la persona o il gruppo che ha creato Dyreza abbia creato anche TrickBot.

Nel 2017, gli sviluppatori hanno incluso un modulo worm in TrickBot, che si ritiene sia stato ispirato da campagne ransomware di successo con funzionalità simili a worm, come WannaCry ed EternalPetya.

Gli sviluppatori hanno anche aggiunto un modulo per raccogliere le credenziali di Outlook, in quanto centinaia di organizzazioni e milioni di persone in tutto il mondo utilizzano solitamente questo servizio di webmail.

Anche la gamma di dati rubati da TrickBot è stata ampliata: cookie, cronologia di navigazione, URL visitati, Flash LSO (Local Shared Objects) e molti altri.

Nel 2018 TrickBot ha continuato a sfruttare la vulnerabilità delle PMI. Era inoltre dotato del modulo che disabilita il monitoraggio in tempo reale di Windows Defender tramite un comando PowerShell.

Sebbene avesse anche aggiornato il suo algoritmo di crittografia, il resto della funzione del modulo è rimasto lo stesso.

Gli sviluppatori di TrickBot hanno anche iniziato a proteggere il proprio codice dall’essere smontato dai ricercatori di sicurezza, incorporando elementi di offuscamento.

Alla fine dell’anno, TrickBot è stata classificata come la principale minaccia per le aziende, superando Emotet.

Gli sviluppatori di TrickBot hanno apportato poi alcune modifiche al Trojan nel 2019. In particolare, è stato modificato il modo in cui la funzione webinject agisce rispetto ai gestori di telefonia mobile con sede negli Stati Uniti, Sprint, Verizon Wireless e T-Mobile.

Recentemente, i ricercatori hanno notato un miglioramento nel metodo di evasione di questo Trojan. Mworm, il modulo responsabile della diffusione delle copie del malware, è stato sostituito da un nuovo modulo chiamato Nworm.

Questo nuovo modulo altera il traffico HTTP di TrickBot, consentendogli di essere eseguito dalla memoria dopo aver infettato un controller di dominio. Ciò garantisce che non lasci tracce di infezione sui computer interessati.

 

Come si diffonde?

Come Emotet, TrickBot arriva sui sistemi interessati sotto forma di URL incorporati o allegati infetti in campagne di spam dannoso (malspam).

Una volta in esecuzione, si diffonde all’interno della rete sfruttando la vulnerabilità SMB utilizzando uno dei tre exploit NSA ampiamente noti: EternalBlue, EternalRomance o EternalChampion.

Emotet può anche rilasciare TrickBot come parte di un’infezione secondaria.

 

A chi si rivolge?

All’inizio, chiunque sembrava essere un potenziale bersaglio. Tuttavia, negli ultimi anni, i suoi obiettivi sembrano essere diventati più specifici, come gli utenti di Outlook o T-Mobile. A volte, TrickBot si maschera anche come uno spam a tema fiscale.

Nel 2019, i ricercatori hanno trovato un repository di indirizzi e-mail e/o credenziali di messaggistica raccolte da milioni di utenti di Gmail, Hotmail, Yahoo, AOL e MSN.

 

Come ci si protegge da TrickBot?

Imparare come funziona TrickBot è il primo passo per sapere come le organizzazioni e i consumatori possono proteggersi da esso. Ecco alcune altre cose a cui prestare attenzione:

  • Cercare possibili Indicatori di Compromise (IoC) eseguendo strumenti appositamente progettati per farlo. In questo è possibile identificare le macchine infette all’interno della rete e, una volta identificate, isolarle.
  • Scaricare e applicare patch che risolvano le vulnerabilità sfruttate.
  • Disabilitare le condivisioni amministrative.
  • Modificare tutte le password dell’amministratore locale e di dominio.
  • Proteggersi da un’infezione TrickBot utilizzando un programma di sicurezza informatica con protezione a più livelli.