Che cos'è il malware TrickBot?
TrickBot (o "TrickLoader") è un Trojan bancario riconosciuto che prende di mira sia le aziende che i consumatori per i loro dati, come informazioni bancarie, credenziali di account, informazioni di identificazione personale (PII) e persino bitcoin. Essendo un malware altamente modulare, può adattarsi a qualsiasi ambiente o rete in cui si trovi.
I numerosi trucchi messi in atto da questo Trojan dalla sua scoperta nel 2016 sono attribuiti alla creatività e all'agilità dei suoi sviluppatori. Oltre a rubare, TrickBot è stato in grado di muoversi lateralmente e di prendere piede all'interno di una rete colpita utilizzando exploit, di propagare copie di se stesso tramite le condivisioni Server Message Block (SMB), di rilasciare altri malware come il ransomware Ryuk e di scovare documenti e file multimediali sulle macchine host infette.
Come si diffonde TrickBot?
Come Emotet, TrickBot arriva sui sistemi colpiti sotto forma di URL incorporati o allegati infetti in campagne di spam dannoso(malspam).
Una volta eseguito, TrickBot si diffonde lateralmente all'interno della rete sfruttando la vulnerabilità SMB con uno dei tre exploit NSA ampiamente conosciuti: EternalBlue, EternalRomance o EternalChampion.
Emotet può anche rilasciare TrickBot come parte di un'infezione secondaria.
Qual è la storia di TrickBot?
TrickBot è nato come ruba-informazioni bancarie, ma nulla è semplice, nemmeno fin dall'inizio.
Quando i ricercatori di Malwarebytes hanno trovato TrickBot nel 2016, vantava già degli attributi che normalmente non si vedono nei "semplici" ruba-credenziali. Inizialmente, prendeva di mira i servizi finanziari e gli utenti per i dati bancari. Inoltre, rilascia anche altro malware.
TrickBot ha la reputazione di essere il successore di Dyreza, un altro ruba-credenziali apparso per la prima volta nel 2014. TrickBot condivideva delle somiglianze con Dyreza, come alcune variabili con valori simili e il modo in cui i creatori di TrickBot hanno impostato i server di comando e controllo (C&C) con cui TrickBot comunica. Questo ha portato molti ricercatori a credere che la persona o il gruppo che ha creato Dyreza abbia creato anche TrickBot.
Nel 2017, gli sviluppatori hanno incluso un modulo worm in TrickBot, che riteniamo sia stato ispirato da campagne ransomware di successo con capacità simili a worm, come WannaCry ed EternalPetya. Gli sviluppatori hanno anche aggiunto un modulo per raccogliere le credenziali di Outlook. Perché Outlook? Beh, centinaia di organizzazioni e milioni di persone in tutto il mondo utilizzano abitualmente questo servizio di webmail. Anche la gamma di dati che TrickBot ruba si è ampliata: cookie, cronologia di navigazione, URL visitati, Flash LSO (Local Shared Objects) e molto altro.
Sebbene questi moduli fossero nuovi all'epoca, non erano ben codificati.
Nel 2018, TrickBot ha continuato a sfruttare la vulnerabilità SMB. Era inoltre dotato del modulo che disabilita il monitoraggio in tempo reale di Windows Defender utilizzando un comando PowerShell. Mentre ha aggiornato il suo algoritmo di crittografia, il resto della funzione del modulo è rimasto invariato. Gli sviluppatori di TrickBot hanno anche iniziato a proteggere il loro codice dall'essere smontato dai ricercatori di sicurezza incorporando elementi di offuscamento.
Alla fine dell'anno, TrickBot è stato classificato come la principale minaccia contro le aziende, superando Emotet.
Gli sviluppatori di TrickBot hanno apportato ancora una volta alcune modifiche al trojan nel 2019. In particolare, hanno apportato modifiche al modo in cui la funzione webinject funziona contro i vettori mobili con sede negli Stati Uniti, Sprint, Verizon Wireless e T-Mobile.
Recentemente, i ricercatori hanno notato un miglioramento nel metodo di elusione di questo Trojan . Mworm, il modulo responsabile della diffusione di una copia di se stesso, è stato sostituito da un nuovo modulo chiamato Nworm. Questo nuovo modulo altera il traffico HTTP di TrickBot, consentendogli di essere eseguito dalla memoria dopo aver infettato un controller di dominio. Ciò garantisce che TrickBot non lasci tracce di infezione sui computer colpiti.
A chi si rivolge Trickbot?
All'inizio, chiunque sembrava essere un bersaglio di TrickBot. Ma negli ultimi anni i suoi obiettivi sembrano essere diventati più specifici, come gli utenti di Outlook o di T-Mobile. A volte, TrickBot si maschera da spam a tema fiscale durante la stagione delle tasse.
Nel 2019, i ricercatori di DeepInstinct hanno trovato un archivio di indirizzi e-mail e/o credenziali di messaggistica raccolti da milioni di utenti. Questi appartengono a utenti di Gmail, Hotmail, Yahoo, AOL e MSN.
Come posso proteggermi da TrickBot?
Imparare come funziona TrickBot è il primo passo per sapere come le organizzazioni e i consumatori possono proteggersi da esso. Ecco altri aspetti a cui prestare attenzione:
- Cercare eventuali indicatori di compromissione (IOC) eseguendo strumenti appositamente progettati, come Farbar Recovery Scan Tool (FRST). In questo modo è possibile identificare i computer infetti all'interno della rete.
- Una volta identificate le macchine, isolate quelle infette dalla rete.
- Download e applicare le patch che risolvono le vulnerabilità sfruttate da TrickBot.
- Disattivare le azioni amministrative.
- Cambiare tutte le password degli amministratori locali e di dominio.
- Proteggetevi da un'infezione da TrickBot utilizzando un programma di cybersecurity con protezione a più livelli. Malwarebytes business e i prodotti consumer premium rilevano e bloccano TrickBot in tempo reale.
Come posso rimuovere TrickBot?
TrickBot non è perfetto e (come abbiamo visto) gli sviluppatori possono essere a volte negligenti. È importante sapere che può essere rimosso. Le soluzioni aziendali diMalwarebytes possono semplificare il lavoro isolando i sistemi colpiti, correggendoli e proteggendoli da future infezioni di TrickBot e di altri ceppi di malware.