Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta nuova versione del trojan bancario TrickBot con capacità di worm

SMB  TrickBot  trojan  worm   venerdì, 4 agosto 2017

TrickBot è un noto trojan bancario scoperto nel settembre del 2016 e connesso ad un altro esemplare di malware similare: Dyre (o Dyreza).

Lo scorso 27 luglio gli esperti della società di sicurezza Flashpoint hanno individuato una nuova versione di TrickBot (“1000029”) che incorpora un nuovo modulo (“worm64Dll”) che gli consente di diffondersi lateralmente sulle reti locali con la modalità di un worm, in maniera analoga a quanto visto recentemente con gli attacchi globali di WannaCry e Petya (notPetya). Questa variante viene diffusa prevalentemente mediante Email di spam con allegate false fatture che sembrano provenire da grandi istituti finanziari internazionali.

Il modulo di propagazione di TrickBot contiene funzionalità in grado di:

  • diffondere il malware localmente sfruttando il protocollo SMB;
  • ottenere una lista di server mediante scansione di dominio attraverso l’API Windows NetServerEnum;
  • enumerare altri computer sulla rete utilizzando il protocollo LDAP.

Oltre a queste tecniche di propagazione, TrickBot è in grado di sfruttare le condivisioni IPC di Windows (IPC$) per propagare ed eseguire uno script PowerShell che a sua volta scarica un’altra istanza del malware (“setup[.]exe”) sulle cartelle condivise di altri computer.

Stando a quanto riportato dagli analisti, le funzionalità di propagazione worm-like di questa nuova variante di TrickBot non sarebbero ancora implementate completamente, segno che il malware potrebbe essere ancora in fase di test da parte del gruppo di cybercriminali responsabile del suo sviluppo. In particolare, a differenza di WannaCry, che sfruttava l’exploit EternalBlue, TrickBot non è in grado di effettuare scansioni di indirizzi IP esterni alla ricerca di connessioni SMB sfruttabili.

Ad ogni modo, si tratta di un chiaro segnale che questo trojan viene ancora attivamente sviluppato e che i suoi autori stanno espandendo costantemente le sue capacità di diffusione, nell’evidente tentativo di replicare il “successo” di WannaCry. A riprova di ciò, i ricercatori di MalwareBytes hanno scoperto ed analizzato la versione “1000030” di TrickBot, che introduce svariati nuovi moduli, tra cui uno che gli consente di catturare i dati memorizzati da Microsoft Outlook.

Notizie correlate

Scoperta nuova variante del trojan bancario per Android Svpeng

2 agosto 2017

I ricercatori di Kaspersky Lab hanno individuato una variante del trojan bancario Svpeng che sfrutta i servizi per l'accessibilità Android per intercettare il testo inserito dall'utente.Leggi tutto

SMBLoris: scoperta nuova falla di SMB in Windows

1 agosto 2017

È stata rivelata l'esistenza di una nuova vulnerabilità del protocollo SMBv1 nei sistemi Windows, battezzata SMBLoris, che può essere sfruttata in attacchi DoS.Leggi tutto

Nuove campagne di diffusione dei malware NemucodAES e Kovter

17 luglio 2017

Sono state individuate nelle scorse settimane nuove campagne di Email di spam che distribuiscono il ransomware NemucodAES e il trojan Kovter.Leggi tutto