Che cos'è il malware TrickBot?
TrickBot (o "TrickLoader") è un noto Trojan bancario che mira a rubare dati dalle aziende e dai consumatori, come informazioni bancarie, credenziali di account, informazioni personali identificabili (PII), e persino bitcoin. Essendo un malware altamente modulare, può adattarsi a qualsiasi ambiente o rete in cui si trova.
I numerosi trucchi messi in atto da questo Trojan dalla sua scoperta nel 2016 sono attribuiti alla creatività e all'agilità dei suoi sviluppatori. Oltre a rubare, TrickBot è stato in grado di muoversi lateralmente e di prendere piede all'interno di una rete colpita utilizzando exploit, di propagare copie di se stesso attraverso le condivisioni Server Message Block (SMB), di rilasciare altri malware come il ransomware Ryuk e di scovare documenti e file multimediali sulle macchine host infette.
Come si diffonde TrickBot?
Come Emotet, TrickBot arriva sui sistemi colpiti sotto forma di URL incorporati o allegati infetti in campagne di spam dannoso(malspam).
Una volta eseguito, TrickBot si diffonde lateralmente all'interno della rete sfruttando la vulnerabilità SMB con uno dei tre exploit NSA ampiamente conosciuti: EternalBlue, EternalRomance o EternalChampion.
Emotet può anche rilasciare TrickBot come parte di un'infezione secondaria.
Qual è la storia di TrickBot?
TrickBot iniziò come un semplice ladro di informazioni bancarie, ma niente è semplice a riguardo—nemmeno dall'inizio.
Quando i ricercatori di Malwarebytes trovarono TrickBot inizialmente nel 2016, esso presentava già delle caratteristiche insolite per i "semplici" ladri di credenziali. Inizialmente, si mirava ai servizi finanziari e agli utenti per raccogliere dati bancari. Dropava anche altri malware.
TrickBot ha la reputazione di essere il successore di Dyreza, un altro ladro di credenziali apparso per la prima volta nel 2014. TrickBot condivideva somiglianze con Dyreza, come certe variabili con valori simili e il modo in cui i creatori di TrickBot impostavano i server di comando e controllo (C&C) con cui TrickBot comunicava. Questo ha portato molti ricercatori a credere che la persona o il gruppo che ha creato Dyreza abbia anche creato TrickBot.
Nel 2017, gli sviluppatori hanno incluso un modulo worm in TrickBot, che riteniamo sia stato ispirato da campagne ransomware di successo con capacità simili a worm, come WannaCry ed EternalPetya. Gli sviluppatori hanno anche aggiunto un modulo per raccogliere le credenziali di Outlook. Perché Outlook? Beh, centinaia di organizzazioni e milioni di persone in tutto il mondo utilizzano abitualmente questo servizio di webmail. Anche la gamma di dati che TrickBot ruba si è ampliata: cookie, cronologia di navigazione, URL visitati, Flash LSO (Local Shared Objects) e molto altro.
Anche se questi moduli erano nuovi a quel tempo, non erano codificati bene.
Nel 2018, TrickBot ha continuato a sfruttare la vulnerabilità SMB. È stato anche dotato di un modulo che disabilita il monitoraggio in tempo reale di Windows Defender usando un comando PowerShell. Anche se ha aggiornato il suo algoritmo di crittografia, il resto delle funzioni del suo modulo è rimasto lo stesso. Gli sviluppatori di TrickBot hanno anche iniziato a proteggere il loro codice dall'essere smantellato dai ricercatori di sicurezza incorporando elementi di offuscamento.
Alla fine dell'anno, TrickBot è stato classificato come la principale minaccia per le aziende, superando Emotet.
Gli sviluppatori di TrickBot hanno apportato alcune modifiche al Trojan nel 2019. In particolare, hanno modificato il modo in cui la funzione webinject funziona contro i vettori mobili statunitensi, Sprint, Verizon Wireless e T-Mobile.
Recentemente, i ricercatori hanno notato un miglioramento nel metodo di elusione di questo Trojan . Mworm, il modulo responsabile della diffusione di una copia di se stesso, è stato sostituito da un nuovo modulo chiamato Nworm. Questo nuovo modulo altera il traffico HTTP di TrickBot, consentendogli di essere eseguito dalla memoria dopo aver infettato un controller di dominio. Ciò garantisce che TrickBot non lasci tracce di infezione sui computer colpiti.
Chi sono i bersagli di TrickBot?
Inizialmente, TrickBot sembrava colpire chiunque. Ma negli ultimi anni, i suoi bersagli sembrano essere diventati più specifici, come gli utenti di Outlook o T-Mobile. A volte, TrickBot è stato trovato mascherato come spam a tema fiscale durante la stagione delle tasse.
Nel 2019, i ricercatori di DeepInstinct hanno trovato un archivio di indirizzi email e/o credenziali di messaggeria raccolti da milioni di utenti. Questi appartengono a utenti di Gmail, Hotmail, Yahoo, AOL e MSN.
Come posso proteggermi da TrickBot?
Scoprire come funziona TrickBot è il primo passo per sapere come le organizzazioni e i consumatori possono proteggersi. Ecco alcune altre cose a cui prestare attenzione:
- Cerca possibili Indicatori di Compromesso (IOC) utilizzando strumenti progettati appositamente per questo scopo, come il Farbar Recovery Scan Tool (FRST). In questo modo, sarà possibile identificare le macchine infette nella rete.
- Una volta identificate le macchine, isolale dalla rete.
- Scarica e applica patch che risolvono le vulnerabilità sfruttate da TrickBot.
- Disabilita le condivisioni amministrative.
- Cambia tutte le password degli amministratori locali e di dominio.
- Proteggiti da un'infezione di TrickBot utilizzando un programma di cybersecurity che abbia una protezione multilivello. I prodotti business e premium consumer di Malwarebytes rilevano e bloccano TrickBot in tempo reale.
Come posso rimuovere TrickBot?
TrickBot non è perfetto e (come abbiamo visto) gli sviluppatori a volte possono essere poco meticolosi. Importante, può essere rimosso. Le soluzioni business di Malwarebytes possono rendere alcuni lavori difficili più semplici isolando i sistemi colpiti, ripristinandoli e proteggendoli da future infezioni di TrickBot e altre varietà di malware fastidiosi.