Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta nuova versione del trojan bancario TrickBot con capacità di worm

SMB  TrickBot  trojan  worm   venerdì, 4 agosto 2017

TrickBot è un noto trojan bancario scoperto nel settembre del 2016 e connesso ad un altro esemplare di malware similare: Dyre (o Dyreza).

Lo scorso 27 luglio gli esperti della società di sicurezza Flashpoint hanno individuato una nuova versione di TrickBot (“1000029”) che incorpora un nuovo modulo (“worm64Dll”) che gli consente di diffondersi lateralmente sulle reti locali con la modalità di un worm, in maniera analoga a quanto visto recentemente con gli attacchi globali di WannaCry e Petya (notPetya). Questa variante viene diffusa prevalentemente mediante Email di spam con allegate false fatture che sembrano provenire da grandi istituti finanziari internazionali.

Il modulo di propagazione di TrickBot contiene funzionalità in grado di:

  • diffondere il malware localmente sfruttando il protocollo SMB;
  • ottenere una lista di server mediante scansione di dominio attraverso l’API Windows NetServerEnum;
  • enumerare altri computer sulla rete utilizzando il protocollo LDAP.

Oltre a queste tecniche di propagazione, TrickBot è in grado di sfruttare le condivisioni IPC di Windows (IPC$) per propagare ed eseguire uno script PowerShell che a sua volta scarica un’altra istanza del malware (“setup[.]exe”) sulle cartelle condivise di altri computer.

Stando a quanto riportato dagli analisti, le funzionalità di propagazione worm-like di questa nuova variante di TrickBot non sarebbero ancora implementate completamente, segno che il malware potrebbe essere ancora in fase di test da parte del gruppo di cybercriminali responsabile del suo sviluppo. In particolare, a differenza di WannaCry, che sfruttava l’exploit EternalBlue, TrickBot non è in grado di effettuare scansioni di indirizzi IP esterni alla ricerca di connessioni SMB sfruttabili.

Ad ogni modo, si tratta di un chiaro segnale che questo trojan viene ancora attivamente sviluppato e che i suoi autori stanno espandendo costantemente le sue capacità di diffusione, nell’evidente tentativo di replicare il “successo” di WannaCry. A riprova di ciò, i ricercatori di MalwareBytes hanno scoperto ed analizzato la versione “1000030” di TrickBot, che introduce svariati nuovi moduli, tra cui uno che gli consente di catturare i dati memorizzati da Microsoft Outlook.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (aprile 2019)

10 aprile 2019

Nella giornata del 9 aprile 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (febbraio 2019)

13 febbraio 2019

Nella giornata del 12 febbraio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto