Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta nuova versione del trojan bancario TrickBot con capacità di worm

SMB  TrickBot  trojan  worm   venerdì, 4 agosto 2017

TrickBot è un noto trojan bancario scoperto nel settembre del 2016 e connesso ad un altro esemplare di malware similare: Dyre (o Dyreza).

Lo scorso 27 luglio gli esperti della società di sicurezza Flashpoint hanno individuato una nuova versione di TrickBot (“1000029”) che incorpora un nuovo modulo (“worm64Dll”) che gli consente di diffondersi lateralmente sulle reti locali con la modalità di un worm, in maniera analoga a quanto visto recentemente con gli attacchi globali di WannaCry e Petya (notPetya). Questa variante viene diffusa prevalentemente mediante Email di spam con allegate false fatture che sembrano provenire da grandi istituti finanziari internazionali.

Il modulo di propagazione di TrickBot contiene funzionalità in grado di:

  • diffondere il malware localmente sfruttando il protocollo SMB;
  • ottenere una lista di server mediante scansione di dominio attraverso l’API Windows NetServerEnum;
  • enumerare altri computer sulla rete utilizzando il protocollo LDAP.

Oltre a queste tecniche di propagazione, TrickBot è in grado di sfruttare le condivisioni IPC di Windows (IPC$) per propagare ed eseguire uno script PowerShell che a sua volta scarica un’altra istanza del malware (“setup[.]exe”) sulle cartelle condivise di altri computer.

Stando a quanto riportato dagli analisti, le funzionalità di propagazione worm-like di questa nuova variante di TrickBot non sarebbero ancora implementate completamente, segno che il malware potrebbe essere ancora in fase di test da parte del gruppo di cybercriminali responsabile del suo sviluppo. In particolare, a differenza di WannaCry, che sfruttava l’exploit EternalBlue, TrickBot non è in grado di effettuare scansioni di indirizzi IP esterni alla ricerca di connessioni SMB sfruttabili.

Ad ogni modo, si tratta di un chiaro segnale che questo trojan viene ancora attivamente sviluppato e che i suoi autori stanno espandendo costantemente le sue capacità di diffusione, nell’evidente tentativo di replicare il “successo” di WannaCry. A riprova di ciò, i ricercatori di MalwareBytes hanno scoperto ed analizzato la versione “1000030” di TrickBot, che introduce svariati nuovi moduli, tra cui uno che gli consente di catturare i dati memorizzati da Microsoft Outlook.

Notizie correlate

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto

Campagna di Email malevole ai danni di utenti italiani

20 giugno 2018

Il CERT-PA ha rilevato una nuova campagna di Email di spam indirizzata ad utenze italiane e volta alla diffusione di malware.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto