Avvertimento! TrickBot Trojan migliora le tecniche per evitare il rilevamento
Il TrickBot Trojan non sembra mai passare di moda. Quello che era iniziato come un Trojan bancario sofisticato ma relativamente unidimensionale si è evoluto in un toolkit malware multiuso dell'esercito svizzero. Una nuova ricerca su TrickBot mostra che il malware è in crescita, sia per quanto riguarda la sua attività che per la sua protezione sempre crescente contro il rilevamento.
I ricercatori della sicurezza con Trusteer di IBM hanno raccolto campioni di TrickBot recentemente intercettati e hanno pubblicato un rapporto sui modi sempre più complessi in cui il malware nasconde la propria attività e gestisce le iniezioni di codice. Il documento delinea quattro diversi metodi utilizzati da TrickBot per evitare il rilevamento.
Sommario
Rimozione delle iniezioni locali
Mentre i ricercatori possono essere in grado di analizzare le iniezioni di codice utilizzate da TrickBot che sono archiviate localmente sul dispositivo compromesso, le cose diventano molto più difficili quando il malware richiede codice e inietta direttamente dai suoi server. TrickBot utilizza un caricatore JS per acquisire l'iniezione appropriata dai suoi server di comando e controllo.
Interazione sicura con Command Server
Quando invia le richieste al suo server C2, TrickBot utilizza HTTPS e implementa il flag "unsafe-url" nella politica del referrer. Questo flag è probabilmente utilizzato per informare il server C2 sulla pagina specifica che l'utente ha aperto nel proprio browser in modo che possa essere restituita la rispettiva iniezione di codice.
Inoltre, TrickBot può dirottare le funzioni di verifica del certificato del dispositivo vittima, eliminando tutti gli errori che potrebbero derivare dalla comunicazione dannosa che il bot sta attivando.
Funzionalità anti-debug
TrickBot ha anche implementato un nuovo script anti-debugging. L'anti-debugger cerca il codice appartenente a TrickBot che è stato alterato e "abbellito" per renderlo più leggibile agli esseri umani, hanno affermato i ricercatori IBM. Il malware utilizza i comandi RegEx per verificare la presenza di codice che è stato ripulito e convertito da Base64, con spazi e nuove righe aggiunte per renderlo più attraente.
Se l'anti-debugger scopre che il codice è stato ritoccato dai ricercatori e "abbellito", lancia il malware in un loop che manda in crash il browser molto presto, poiché la memoria si sovraccarica.
Codice offuscamento
Per impostazione predefinita, il codice utilizzato per l'iniezione da TrickBot è sempre codificato utilizzando Base64. Oltre a ciò, il malware utilizza passaggi aggiuntivi per crittografare e offuscare il proprio codice.
Il codice morto viene anche iniettato tra le espressioni legittime, in modo simile a quello che fanno altri malware, per rendere più difficile determinare il vero scopo dei moduli del malware.
Il codice viene abbreviato e "bruciato" per renderlo incomprensibile a occhio nudo, ma conserva comunque le sue capacità dannose. Le stringhe nelle funzioni vengono spostate negli array e quindi crittografate, rendendo il lavoro dei ricercatori ancora più difficile. I valori assegnati alle variabili sono rappresentati di proposito non come numeri interi ma come esadecimali, spesso in espressioni assurde. Un esempio fornito dai ricercatori è un valore zero che viene inizializzato nel codice utilizzando la stringa (0x130 * 0x11 + -0x17f5 + 0x2e * 0x15, -0x24a5 + 0x68e * -0x4 + 0x3edd, -0x17f1 + -0x99b * 0x3 + 0x34c2) .
TrickBot è da anni una centrale elettrica nel mondo degli strumenti dannosi e non mostra segni reali di rallentamento o scomparsa. Ci sono stati tentativi di eliminare la sua infrastruttura dannosa, ma il successo è stato molto limitato e sembra che il malware sia ancora forte, anni dopo il suo lancio iniziale.