TrickBot Banking Trojan-Trojan mirato a macchine Windows

Pubblicato: 2019-01-17

Le persone in tutto il mondo sono costantemente minacciate da vari malware progettati per realizzare profitti illeciti o per rubare dati personali. Ma c'è in particolare un tipo che è odiato di più; sono Trojan bancari. Di volta in volta, fanno apparizioni in forme diverse e sfruttano gli utenti. Ma il peggiore che ha catturato le luci della ribalta di recente è il TrickBot Banking Trojan che prende di mira le macchine Windows. È stato scoperto che questo specifico Trojan ha avuto un impatto positivo su Australia, Asia e America Latina. Ora si sta facendo strada anche attraverso l'Argentina, il Perù e il Cile, progettando di infettare milioni di macchine. Puoi determinare l'intensità della loro notorietà e danno dal fatto che sono stati in grado di inviare oltre 75000 e-mail in 25 minuti pretendendo da Lloyds Bank, Regno Unito, nel 2017.

TrickBot Trojan
Fonte: – giornale sulla sicurezza

Cos'è Trickbot?

Questo è uno dei trojan bancari più attivi sul mercato che ha una miriade di funzionalità tra cui reindirizzamenti di URL e iniezioni web. Questo è stato identificato e individuato per la prima volta nell'ottobre 2016 in Australia. Si stima che Trickbot sia gestito e gestito da un gruppo di individui con una portata globale. Inoltre, sono intelligenti, poiché hanno attaccato attraverso diverse tecniche, ad esempio Reindirizzamento il 40% delle volte e lasciato il 60% alle iniezioni web. È un modello che è stato visto in 40 paesi ora.

Questo malware viene consegnato agli utenti tramite e-mail di phishing, ma hanno anche iniziato a esplorare altre pratiche per la distribuzione come siti Web falsi. In questi casi, operano principalmente tramite iniezioni web.

Trickbot
Fonte: – trendmicro

Iniezioni Web

Il browser Web è infettato dal malware, che tiene sotto controllo ogni sito Web che visiti. Tutto rimane inalterato fino a quando non visiti un sito web bancario. L'obiettivo principale degli aggressori è quello di phishing degli utenti attraverso i siti web bancari, dove non appena l'utente visita uno qualsiasi dei siti web bancari, un codice viene intercettato attraverso la rete per rubare le informazioni personali e le credenziali inserite.

Ciò che è più inquietante nelle iniezioni Web è che non puoi dire nulla semplicemente guardando i siti Web perché non è il sito Web ad essere infetto ma il browser Web. In questo scenario, come possiamo identificare le attività anomale? Bene, nessuno può farlo a meno che non vada al codice sorgente della pagina bancaria.

Se il tuo browser non è infetto, i codici saranno relativamente più piccoli, mentre se lo è, vedrai alcune strane nuove funzioni al suo interno. A volte, le funzioni aggiuntive o l'insieme di codici contengono commenti che ci informano sulla loro funzionalità, ad esempio rubando le credenziali e informando gli hacker delle stesse.

Reindirizzamento URL

Trojan bancario TrickBot

Sebbene ci siano casi in cui è stato utilizzato il reindirizzamento degli URL, questa pratica sta diventando scarsa. Il motivo è il fatto che qualsiasi reindirizzamento è identificabile. Ancora una volta, gli hacker possono creare solo URL simili e non esatti per reindirizzare una persona durante la navigazione a causa delle regole di registrazione dei nomi di dominio. E questo può essere individuato se qualcuno sta prestando attenzione agli URL.

Cosa fa Trickbot?

Si dice che il malware abbia molte funzionalità dannose che includono: –

  • Avvia la comunicazione tra i dispositivi infetti e il server dei comandi.
  • Ruba informazioni riservate come credenziali bancarie, informazioni personali ecc. sfruttando le sessioni di navigazione web.
  • Raccogli informazioni dettagliate sulle macchine e le reti interessate.
  • Compromettere le password degli account che vengono salvate online, esaminare i cookie e la cronologia web.
  • Estendi la sua portata infettando altre macchine sulla rete infetta.
  • Configura altri strumenti per scopi dannosi come client VNC, strumento di accesso remoto o ransomware.

Come funziona Trickbot Trojan?

TrickBot Trojan
Fonte: – socprime

Leggi anche: Emotet Trojan- Un Trojan bancario che si è evoluto pericolosamente

Una volta distribuito, il trojan bancario TrickBot si duplica in%APPDATA% e rimuove il campione originale.

Inoltre, aggiunge due file chiamati client_id e group_tag. Vengono creati localmente e utilizzati per rilevare il singolo bot e l'operazione a cui è associato. Questi file non sono crittografati e contengono testo in Unicode.

client_id : include il nome della macchina infetta, la versione del sistema operativo e una stringa generata casualmente.

La cartella contiene un file chiamato config.conf. Viene scaricato tramite il server Command & Control (C&C) e codificato.

Nota : C&C o C2 viene utilizzato dai cyber-attaccanti per gestire le comunicazioni con le macchine infette all'interno di una rete infetta.

Una cartella nota come Moduli viene generata in %APPDATA%. Altri file scaricati tramite C&C sono injectDll32 e systeminfo32.

injectDll32 – È un modulo banker che inietta DLL all'interno dei browser di destinazione per avviare il furto delle credenziali

systeminfo32 – Viene utilizzato per raccogliere informazioni generali sul sistema

Questi file sono anche codificati. Inoltre, l'elenco dei browser di destinazione è codificato all'interno di injectDll32.dll. TrickBot lo rende efficace accumulandosi come attività nell'Utilità di pianificazione di Windows. L'attività si chiama semplicemente "Bot" e non viene fatto alcun tentativo di nascondere questa attività. Tuttavia, se si tenta di terminare l'attività, il motore dell'Utilità di pianificazione la riavvia automaticamente.

Comunicazione di rete

Il malware TrickBot comunica con server diversi. Inizialmente comunica con un server valido per ottenere un IP visibile. Sorprendentemente, consuma il proprio User Agent, ovvero TrickLoader o BotLoader, e non tenta di mascherarsi come un browser autentico. Ma la maggior parte delle comunicazioni di TrickBot con il centro di comando e controllo è crittografata con SSL.

client_id e group_id, vengono utilizzati nell'URL della richiesta POST seguita dall'ID comando. Questa era una caratteristica osservata nel malware Dyreza. Inoltre, viene caricato un payload aggiuntivo senza crittografare il traffico di rete. I C&C sono installati su router wireless compromessi, ad esempio MikroTik. Questa è un'altra caratteristica comune tra Dyreza e TrickBot. Un'altra cosa strana di TrickBot è che non prova nemmeno a copiare nomi dall'aspetto autentico per i certificati HTTP. Includono dati del tutto casuali. Ad esempio: -

https://193.9.28.24/tmt2/TESTMACHINE_W617601.653EB63213B91453D28A68C0FCA3AC4/5/sinj/

I sintomi che il tuo sistema è interessato

Gli utenti dell'endpoint non vedranno alcuna modifica, ma l'amministratore di rete lo farà. Il sintomo cambierà nel traffico o nel tentativo di raggiungere URL limitati e IP inseriti nella lista nera. Ciò accade perché il malware sta tentando di inoltrare i dati agli hacker. Tenta di prelevare dati e ricevere attività dal server Control and Command (C&C).

Conseguenze

Poiché questo Trojan utilizza la vulnerabilità EternalBlue, si concentrerà sull'influenza dell'intera rete non solo su una macchina. Ciò implica che una volta che la tua rete è interessata, non c'è via d'uscita. Puoi pulire una macchina particolare ma non l'intera rete. In una certa misura, l'isolamento delle macchine infette e il lavoro per rimuovere questo Trojan potrebbe essere efficace.

Di seguito sono riportati alcuni passaggi che è possibile seguire se le macchine di rete sono interessate: –

  1. Rileva le macchine infette.
  2. Isolarli dalla rete.
  3. Usa la patch per EternalBlue.
  4. Limitare le azioni amministrative.
  5. Blocca gli allegati con varie estensioni di file come:

Exe|pif|tmp|urlpst|cmd|com|hta|js|wsf|vb|vbe|scr|reg|cer|bat|dll|dat|hlp|

  1. Rimuovere il Trojan bancario TrickBot.
  2. Modifica le credenziali dell'account.

Da leggere: IcedID New Banking Trojan

Il verdetto finale

Questo è molto pericoloso non solo per la sua aggressività ma anche per la sua costante evoluzione. Gli operatori di questo Trojan bancario hanno anche iniziato a prendere di mira gli utenti sulle e-mail di Outlook, sui dati di navigazione e persino sulle criptovalute. Dobbiamo trovare presto un meccanismo di difesa se non vogliamo che i nostri portafogli e conti si svuotano!