Che cos'è il malware TrickBot?
TrickBot (o "TrickLoader") è un noto Trojan bancario che mira a rubare dati dalle aziende e dai consumatori, come informazioni bancarie, credenziali di account, informazioni personali identificabili (PII), e persino bitcoin. Essendo un malware altamente modulare, può adattarsi a qualsiasi ambiente o rete in cui si trova.
I numerosi trucchi che questo Trojan ha sfoderato sin dalla sua scoperta nel 2016 sono attribuiti alla creatività e agilità dei suoi sviluppatori. Oltre a rubare, TrickBot ha la capacità di muoversi lateralmente e stabilire una presenza solida all'interno di una rete colpita usando exploit, propagarsi tramite condivisioni Server Message Block (SMB), rilasciare altri malware come Ryuk ransomware, e cercare documenti e file multimediali sui computer infetti.
Come si diffonde TrickBot?
Come Emotet, TrickBot arriva sui sistemi colpiti sotto forma di URL integrati o allegati infetti in campagne di spam malizioso (malspam).
Una volta eseguito, TrickBot si diffonde lateralmente nella rete sfruttando la vulnerabilità SMB utilizzando uno dei tre exploit della NSA ampiamente conosciuti: EternalBlue, EternalRomance o EternalChampion.
Emotet può anche rilasciare TrickBot come parte di un'infezione secondaria.
Qual è la storia di TrickBot?
TrickBot iniziò come un semplice ladro di informazioni bancarie, ma niente è semplice a riguardo—nemmeno dall'inizio.
Quando i ricercatori di Malwarebytes trovarono TrickBot inizialmente nel 2016, esso presentava già delle caratteristiche insolite per i "semplici" ladri di credenziali. Inizialmente, si mirava ai servizi finanziari e agli utenti per raccogliere dati bancari. Dropava anche altri malware.
TrickBot ha la reputazione di essere il successore di Dyreza, un altro ladro di credenziali apparso per la prima volta nel 2014. TrickBot condivideva somiglianze con Dyreza, come certe variabili con valori simili e il modo in cui i creatori di TrickBot impostavano i server di comando e controllo (C&C) con cui TrickBot comunicava. Questo ha portato molti ricercatori a credere che la persona o il gruppo che ha creato Dyreza abbia anche creato TrickBot.
Nel 2017, gli sviluppatori hanno incluso un modulo worm in TrickBot, che si ritiene sia stato ispirato da campagne ransomware di successo con capacità simili a quelle di un worm, come WannaCry e EternalPetya. Gli sviluppatori hanno anche aggiunto un modulo per ottenere le credenziali di Outlook. Perché Outlook? Beh, centinaia di organizzazioni e milioni di individui in tutto il mondo utilizzano di solito questo servizio di webmail. La gamma di dati che TrickBot ruba si è anche ampliata: cookie, cronologia di navigazione, URL visitati, Flash LSO (Local Shared Objects) e molto altro.
Anche se questi moduli erano nuovi a quel tempo, non erano codificati bene.
Nel 2018, TrickBot ha continuato a sfruttare la vulnerabilità SMB. È stato anche dotato di un modulo che disabilita il monitoraggio in tempo reale di Windows Defender usando un comando PowerShell. Anche se ha aggiornato il suo algoritmo di crittografia, il resto delle funzioni del suo modulo è rimasto lo stesso. Gli sviluppatori di TrickBot hanno anche iniziato a proteggere il loro codice dall'essere smantellato dai ricercatori di sicurezza incorporando elementi di offuscamento.
Alla fine dell'anno, TrickBot è stato classificato come la principale minaccia per le aziende, superando Emotet.
Gli sviluppatori di TrickBot hanno apportato alcune modifiche al Trojan nel 2019. In particolare, hanno modificato il modo in cui la funzione webinject funziona contro i vettori mobili statunitensi, Sprint, Verizon Wireless e T-Mobile.
Di recente, i ricercatori hanno notato un miglioramento nel metodo di evasione di questo Trojan. Mworm, il modulo responsabile della diffusione di copie di sé stesso, è stato sostituito da un nuovo modulo chiamato Nworm. Questo nuovo modulo altera il traffico HTTP di TrickBot, permettendogli di funzionare dalla memoria dopo aver infettato un controller di dominio. Questo assicura che TrickBot non lasci alcuna traccia di infezione sui computer colpiti.
Chi sono i bersagli di TrickBot?
Inizialmente, TrickBot sembrava colpire chiunque. Ma negli ultimi anni, i suoi bersagli sembrano essere diventati più specifici, come gli utenti di Outlook o T-Mobile. A volte, TrickBot è stato trovato mascherato come spam a tema fiscale durante la stagione delle tasse.
Nel 2019, i ricercatori di DeepInstinct hanno trovato un archivio di indirizzi email e/o credenziali di messaggeria raccolti da milioni di utenti. Questi appartengono a utenti di Gmail, Hotmail, Yahoo, AOL e MSN.
Come posso proteggermi da TrickBot?
Scoprire come funziona TrickBot è il primo passo per sapere come le organizzazioni e i consumatori possono proteggersi. Ecco alcune altre cose a cui prestare attenzione:
- Cerca possibili Indicatori di Compromesso (IOC) utilizzando strumenti progettati appositamente per questo scopo, come il Farbar Recovery Scan Tool (FRST). In questo modo, sarà possibile identificare le macchine infette nella rete.
- Una volta identificate le macchine, isolale dalla rete.
- Scarica e applica patch che risolvono le vulnerabilità sfruttate da TrickBot.
- Disabilita le condivisioni amministrative.
- Cambia tutte le password degli amministratori locali e di dominio.
- Proteggiti da un'infezione di TrickBot utilizzando un programma di cybersecurity che abbia una protezione multilivello. I prodotti business e premium consumer di Malwarebytes rilevano e bloccano TrickBot in tempo reale.
Come posso rimuovere TrickBot?
TrickBot non è perfetto e (come abbiamo visto) gli sviluppatori a volte possono essere poco meticolosi. Importante, può essere rimosso. Le soluzioni business di Malwarebytes possono rendere alcuni lavori difficili più semplici isolando i sistemi colpiti, ripristinandoli e proteggendoli da future infezioni di TrickBot e altre varietà di malware fastidiosi.