La botnet Trickbot, nonostante fosse stata interrotta da una coalizione di società di cyber-security alla fine dell’anno scorso, sembra essere ritornata utilizzando collegamenti dannosi nelle e-mail anziché allegati di posta elettronica non autorizzati
Il malware Trickbot è tornato con una nuova campagna, pochi mesi dopo che le sue operazioni erano state interrotte da una coalizione di aziende tecnologiche e di cyber-security.
TrickBot affligge aziende e consumatori dal 2016, infettando oltre un milione di computer. Negli ultimi anni è stato spesso sotto i riflettori a causa della sua associazione con Ryuk, un’operazione di ransomware altamente sofisticata che ha colpito molte organizzazioni in tutto il mondo.
Inizialmente nato come trojan bancario, Trickbot si è evoluto fino a diventare una forma di malware molto popolare tra i criminali informatici, in particolare perché la sua natura modulare ne consentiva l’utilizzo in molti diversi tipi di attacchi.
Il malware Trickbot è tornato con una nuova campagna, pochi mesi dopo che le sue operazioni sono state interrotte da una coalizione di aziende tecnologiche e di sicurezza informatica.
Inizialmente nato come trojan bancario, Trickbot si è evoluto fino a diventare una forma di malware molto popolare tra i criminali informatici, in particolare perché la sua natura modulare ne consentiva l’utilizzo in molti diversi tipi di attacchi.
Questi includono il furto delle credenziali di accesso e la capacità di propagarsi nella rete diffondendo ulteriormente l’infezione.
Trickbot è persino diventato un caricatore per altre forme di malware, con i criminali informatici che sfruttano le macchine già compromesse da Trickbot come mezzo per distribuire altri payload dannosi, incluso il ransomware.
Nell’ottobre dello scorso anno, una rimozione guidata da Microsoft ha interrotto l’infrastruttura dietro la botnet del malware Trickbot, ma ora sembra che stia tornando in vita poiché i ricercatori di Menlo Security hanno identificato una campagna di malware in corso che ha i tratti distintivi della precedente attività di Trickbot
Questi attacchi sembrano prendere di mira esclusivamente le compagnie legali e assicurative del Nord America, con e-mail di phishing che incoraggiano le potenziali vittime a fare clic su un collegamento che le reindirizzerà a un server che scarica un payload dannoso.
Molte di queste e-mail affermano che l’utente è stato coinvolto in un’infrazione del traffico e lo indirizza verso il download della “ prova ” del loro reato, un trucco di ingegneria sociale che può cogliere le persone alla sprovvista e indurle a scaricare. In questo caso, il download è un archivio zip che contiene un file Javascript dannoso – una tecnica tipica implementata dalle campagne Trickbot – che si connette a un server per scaricare il payload del malware finale.
L’analisi di questo payload indica che si connette a domini noti per distribuire il malware Trickbot, indicando che è di nuovo attivo e potrebbe rappresentare una minaccia per le reti aziendali.
Sebbene le azioni di Microsoft e dei suoi partner siano state encomiabili e l’attività di Trickbot si sia ridotta a un filo, gli autori delle minacce sembrano essere abbastanza motivati da ripristinare le operazioni e trarre profitto dall’attuale ambiente di minaccia.
Un avviso su Trickbot del National Cyber Security Center (NCSC) del Regno Unito raccomanda alle aziende di utilizzare le ultime versioni supportate di sistemi operativi e software e di applicare patch di sicurezza per impedire a Trickbot e ad altri malware che sfruttano vulnerabilità note di diffondersi.
I cyber criminali dietro a Trickbot, e comunque i cyber criminali in generale eseguono attacchi sempre più sofisticati e essi stessi sono molto resilienti, continuando a imparare, adattare e ricostruire.
Gli strumenti di protezioni into the box non sono più sufficienti ne in grado di proteggere le aziende da questo continuo evolversi di attacchi; le aziende devono capire che, come in guerra, bisogna dotarsi di “armi in grado di difendersi” e quindi guardare oltre e adottare metodologie e strumenti avanzati in linea con gli attacchi, come l’approccio ZERO TRUST.
Comments