Threat Database Trojans Trojan.TrickBot

Trojan.TrickBot

Cartoncino segnapunti di minaccia

Classifica: 3,985
Livello di minaccia: 80 % (Alto)
Computer infetti: 29,315
Visto per la prima volta: October 17, 2016
Ultima visualizzazione: November 11, 2023
Sistemi operativi interessati: Windows

Screenshot di Trojan.TrickBot Trojan.TrickBot, un trojan bancario, sembra essere il successore di Dyre, un noto trojan bancario che era già responsabile di numerosi attacchi in tutto il mondo. Esiste sicuramente una connessione tra i due Trojan. Queste minacce si evolvono costantemente, acquisendo nuove funzionalità mentre difendono dalle nuove misure di sicurezza implementate dai ricercatori sulla sicurezza dei PC. Dyre , noto anche come Dyreza, sembra essersi evoluto in Trojan.TrickBot, un nuovo Trojan bancario.


Questa settimana nell'episodio 20 di malware, parte 2: malware Bazar collegato a campagne di Trojan bancari Trickbot per rubare dati personali

Trojan.TrickBot è apparso per la prima volta nell'ottobre 2016 e all'epoca attaccava solo le banche in Australia. A partire da aprile 2017, sono stati segnalati anche attacchi contro le principali banche nel Regno Unito, Stati Uniti, Svizzera, Germania, Canada, Nuova Zelanda, Francia e Irlanda. Altri nomi con cui è noto questo Trojan includono TheTrick, Trickster, TrickLoader, Trojan.TrickBot.e, ecc. Una delle versioni più recenti del malware è stata aggiornata per prendere di mira i cryptowallet dopo che il cryptomining è diventato popolare alla fine del 2017. Anche nel 2017 Gli autori del Trojan bancario hanno aggiunto al proprio codice un componente di auto-diffusione che ha reso il malware capace di auto-propagarsi. Ovviamente, l'obiettivo era quello di infettare il maggior numero di computer possibile e persino intere reti con Trojan.TrickBot. Nel 2018, Trojan.TrickBot è apparso di nuovo con una gamma di funzionalità ancora più ampia.

A TrickBot piace collaborare con altre minacce malware

Nel gennaio 2019, i ricercatori hanno scoperto una campagna attiva di ransomware Ryuk in cui le vittime mirate erano state precedentemente attaccate da Emotet e TrickBot. Ci sono prove che i criminali informatici abbiano prima consegnato Emotet tramite e-mail di spam e varie tecniche di ingegneria sociale. In questo schema, un computer infettato da Emotet è stato utilizzato per distribuire TrickBot, che a sua volta ha rubato informazioni sensibili che hanno aiutato gli aggressori a scoprire se la vittima è un obiettivo del settore adatto. In tal caso, distribuiranno il ransomware Ryuk alla rete dell'azienda. In precedenza, nel maggio 2018, TrickBot ha anche collaborato con un altro Trojan bancario, IcedID.

Quando si lavora da solo, TrickBot in genere si diffonde su allegati di posta elettronica danneggiati camuffati da documento di Microsoft Office con macro abilitate. Quando il file viene aperto, gli script dannosi vengono eseguiti e scaricano furtivamente il malware. Le ultime versioni di TrickBot dall'inizio del 2019 vengono fornite tramite e-mail di spam a tema stagionale che fingono di provenire da una grande società di consulenza finanziaria. Le e-mail attirano gli utenti con contenuti fiscali, promettendo aiuto con alcune questioni fiscali negli Stati Uniti. Tuttavia, una volta aperto, il foglio di calcolo Microsoft Excel allegato all'e-mail rilascia TrickBot sul computer dell'utente.

Una breve analisi del predecessore di Trojan.TrickBot, il Dyre Trojan

Il Dyre Trojan , che è associato a una vasta botnet composta da centinaia di migliaia di computer infetti, ha attaccato decine di migliaia di computer in tutto il mondo nel novembre 2015. Più di mille banche e istituti finanziari potrebbero essere stati compromessi da Dyre. Le attività di questa minaccia si sono interrotte nel novembre del 2015, che ha coinciso con l'irruzione negli uffici di un'azienda russa che faceva parte del gruppo di truffatori responsabile di Dyre. Sfortunatamente, sembra che qualcuno che è stato coinvolto nello sviluppo di Dyre nel 2015 possa ora partecipare allo sviluppo di Trojan.TrickBot.

Monitoraggio dell’evoluzione di Trojan.TrickBot

Trojan.TrickBot è stato rilevato per la prima volta nel settembre 2016 in una campagna di minacce rivolta agli utenti di computer in Australia. Alcune delle istituzioni finanziarie australiane che sono state colpite includono NAB, St. George, Westpac e ANZ. Gli attacchi iniziali di Trojan.TrickBot hanno coinvolto un modulo collector. I campioni più recenti di Trojan.TrickBot includono anche webinject nel loro attacco e sembrano essere ancora in fase di test.

Esistono diversi motivi per cui gli analisti della sicurezza dei PC sospettano che esista una forte connessione tra Trojan.TrickBot e Dyre. Il caricatore coinvolto nella maggior parte degli attacchi è molto simile. Una volta decodificate le minacce, le somiglianze diventano molto ovvie. Ciò significa che molti dei truffatori responsabili dello sviluppo e dell'implementazione di Dyre sembrano essere tornati attivi, sfuggendo all'arresto e riprendendo le attività un anno dopo gli attacchi di Dyre. Trojan.TrickBot sembra essere una versione riscritta di Dyre, mantenendo molte delle stesse funzioni ma scritte in modo diverso. Rispetto a Dyre, c'è una grande quantità di codice in C ++ nell'implementazione di Trojan.TrickBot. Trojan.TrickBot sfrutta CryptoAPI di Microsoft piuttosto che avere funzioni integrate per le corrispondenti operazioni di crittografia. Le seguenti sono le differenze tra Trojan.TrickBot e Dyre:

  • Trojan.TrickBot non esegue direttamente i comandi ma interagisce invece con l'Utilità di pianificazione utilizzando COM per mantenere la persistenza sul computer infetto.
  • Anziché utilizzare una routine di hashing SHA256 incorporata o una routine AES, Trojan.TrickBot utilizza l'API Microsoft Crypto.
  • Mentre Dyre è stato scritto utilizzando principalmente il linguaggio di programmazione C, Trojan.TrickBot utilizza una porzione più ampia di C ++ per il suo codice.
  • Oltre ad attaccare le grandi banche internazionali, Trojan.TrickBot può anche rubare dai portafogli Bitcoin.
  • TrojanTrickBot ha la capacità di raccogliere e-mail e credenziali di accesso tramite lo strumento Mimikatz.
  • Nuove funzionalità vengono inoltre costantemente aggiunte a Trojan.TrickBot.

Queste differenze, tuttavia, sembrano indicare che esiste una chiara relazione tra Dyre e Trojan.TrickBot, ma quel Trojan.TrickBot rappresenta in realtà una fase più avanzata di sviluppo della minaccia precedente. Trojan.TrickBot viene caricato utilizzando il programma di caricamento delle minacce "TrickLoader", che è stato associato a molte altre minacce, tra cui Pushdo , Cutwail e Vawtrak . Cutwail, in particolare, è stato associato anche alla minaccia Dyre, rendendo probabile che i truffatori responsabili di Trojan.TrickBot stiano tentando di ricostruire le vaste capacità di cui godevano con il loro precedente attacco.

Dettagli operativi

Trojan.TrickBot è una seria minaccia per la privacy degli utenti poiché il suo scopo principale è quello di rubare le credenziali di accesso dell'utente per i siti Web di banking online, account Paypal, portafogli di criptovaluta e altri account finanziari e personali. Il malware utilizza due tecniche per indurre le sue vittime a fornire i dati. La prima tecnica è chiamata iniezione statica e consiste nel sostituire la pagina di accesso del sito Web bancario legittimo con una falsa che la copia esattamente. Il secondo metodo è chiamato iniezione dinamica e prevede il dirottamento del browser della vittima e il reindirizzamento a un server controllato dagli operatori del malware ogni volta che l'utente immette un URL che appartiene a un sito Web bancario mirato. In entrambi i casi, i dati di accesso inseriti dall'utente vengono acquisiti e inviati agli operatori di Trojan.TrickBot e, rispettivamente, possono essere utilizzati in modo improprio per commettere frodi finanziarie.

Trojan.TrickBot viene fornito in diversi moduli e un file di configurazione. Ciascuno dei moduli svolge un'attività specifica, come garantire la propagazione e la persistenza del malware, il furto di credenziali e così via. Per evitare il rilevamento, i moduli dannosi vengono iniettati in processi legittimi, incluso svchost. Inoltre, TrickBot tenta di disabilitare ed eliminare Windows Defender come un'altra misura per ridurre la possibilità di essere rilevato.

La cartella di installazione di Trojan.TrickBot si trova in C: \ user \ AppData \ Roaming \% Name%, dove "% Name%" dipende dalla particolare versione del malware. C'è anche una copia di TrickBot con un nome leggermente diverso nella stessa cartella, così come un file settings.ini e una cartella Dati. TrickBot garantisce la sua persistenza creando un'attività pianificata e un servizio. Il nome dell'attività dipende dalla variante del malware, potrebbe essere denominato "NetvalTask", ad esempio. La voce di registro viene generata in modo casuale e si trova sotto l'hive del servizio, ad esempio \ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath. Gli operatori di Trojan.TrickBot configurano i server Command & Control con cui il malware comunica sui router wireless hackerati.

Le versioni più recenti di TrickBot sono dotate di funzionalità avanzate

Nel novembre 2018, le versioni aggiornate di Trojan.TrickBot hanno raggiunto il mercato del malware, dimostrando funzionalità più avanzate. Tra queste c'è la funzionalità di blocco dello schermo osservata in alcune versioni del malware apparse nei diversi mesi precedenti a novembre 2018. Alcuni ricercatori credevano in quel momento che attraverso questo nuovo componente gli autori del malware mirassero a trattenere le vittime per il riscatto se il Trojan fosse stato incapace di esfiltrare credenziali bancarie dal computer infetto. Verso novembre 2018 sono state aggiunte anche funzionalità migliorate per evitare il rilevamento. Tuttavia, una funzionalità ancora più pericolosa è stata aggiunta all'arsenale di Trojan.TrickBot in quel momento tramite un nuovo modulo per l'acquisizione di password chiamato "pwgrab": il malware non era più interessato al visitato solo dai siti web degli utenti, ma è stato anche in grado di dirottare applicazioni popolari e rubare le password salvate da lì. Oltre a ciò, TrickBot ha anche iniziato a raccogliere dati di navigazione e di sistema, come cookie, termini di ricerca, cronologia, informazioni sulla CPU, processi in esecuzione e così via. Inoltre, il Trojan ha la capacità di aggiornarsi una volta installato su una macchina, il che significa che un computer infetto avrà sempre l'ultima versione di TrickBot indipendentemente da quando si è verificata l'infezione iniziale.

Un'altra nuova versione di Trojan.TrickBot è stata scoperta dai ricercatori Trend Micro nel gennaio 2019. Questa nuova variante ha aggiunto tre nuove funzionalità al modulo di furto delle password di TrickBot, progettato per indirizzare Virtual Network Computing (VNC), PuTTY e Remote Desktop Protocol Piattaforme (RDP). Il modulo pwgrab di TrickBot acquisisce le credenziali VNC cercando file contenenti ".vnc.lnk" nei loro nomi all'interno di "% APPDATA% \ Microsoft \ Windows \ Recent", "% USERPROFILE% \ Documents" e "% USERPROFILE% \ Cartelle "Download". Per acquisire le credenziali PuTTY e RDP, TrickBot cerca nella chiave di registro Software \ SimonTatham \ Putty \ Sessions e utilizza "l'API CredEnumerateA" per identificare e rubare le password salvate. Quindi, per identificare il nome utente, il nome host e la password salvati per credenziale RDP, il malware analizza la stringa "target = TERMSRV". TrickBot scarica un file di configurazione denominato "dpost" dal server Command & Control degli operatori e utilizza un comando POST impostato per esfiltrare le credenziali VNC, PuTTY e RDP raccolte dai dispositivi infetti.

Nel gennaio 2019, i ricercatori hanno anche scoperto che TrickBot funge anche da Access-as-a-Service per altri attori: una volta che infetta una macchina, la trasforma in un bot e crea gusci inversi, consentendo così ad altri operatori di malware di accedere alla rete infetta e rilascia i propri payload dannosi.

Prevenire gli attacchi Trojan.TrickBot

Il modo migliore per prevenire gli attacchi Trojan.TrickBot è assicurarsi che il computer sia protetto con un programma anti-malware affidabile e completamente aggiornato. Le password per l'online banking dovrebbero essere sicure e dovrebbe essere implementata un'autenticazione in due passaggi. Fai attenzione quando gestisci i tuoi conti bancari online, eviti queste operazioni su computer sconosciuti e scansiona regolarmente il tuo computer alla ricerca di minacce con un'applicazione di sicurezza aggiornata.

SpyHunter rileva e rimuove Trojan.TrickBot

Dettagli del file system

Trojan.TrickBot può creare i seguenti file:
# Nome del file MD5 Rilevazioni
1. osqtfgwbhddfk_6uuom5e_whpvlf1aykllyyz_bds5ifmrgqrqih0yrdnnwxs437.exe b33d85ace606ae9ba59921d45b755cf8 64
2. monter.exe 8dd6747e7ff790723a9449d085c86fc8 63
3. cmslase.exe c2703692c92cd9acb42a6112a2c990ac 61
4. alixqbuzlh7q0_rgjq0uxei67anelu_5fyn_wfzoza3e7yqb83gq8yfoasue4ckm.exe e0b6bbd9bc80c81573743aba3a1494ba 45
5. u03wrzlmz8o06idm698895hzwni4rg2vym87c6m3jnengnqlcw29to1aogz4_zxb.exe 63678274328832e7e24b8f0950f81c22 45
6. 7ejs9huc_16gtr8iopvqa5nokd6r9gnf8udwm9knch_wt2od9ea45drh1g6348ck.exe d2ba8d47e97e896f1c96eb063b488fce 34
7. wotrer.exe dec56a7ec9115ff81a098f2a4170504b 33
8. monter.exe b212e24c37596cab9338cfdd78566395 25
9. cmslase.exe 26d27317025124ac585c1a463e2986e4 24
10. wotrer.exe 0450e57c7fb70c44bd4fc95cafc061da 23
11. 9nqgwv8fbtif4uwo0doaf_soay33wbvced8qyhz_gdfvk5sim8qss2lg3xls85ud.exe 682d94a60e5e5a360a1c4c5a00c45f3f 19
12. a0jcwvsyoru6vrdxkehkrjemn67g5vdzx8rm6zbhjeghyrphjasentbjs8k2bdtw.exe 33e022862d91a662d0f979ff57e0a048 19
13. 44983o8uh99g8n8_pmubyhu7vfxxbh898xq8hnttmrrzf28tudu7mwrrm_11c1jn.exe 1cd7efb64b3e7bf1daaf857ba3ae4663 17
14. 44783m8uh77g8l8_nkubyhu5vfxxbh878xo6hlttkppzf28tsdu5kwppk_11c1jl.exe d4843dd4f0545ff524522a9f044e1d0f 15
15. qsdruqrqvj_g8va_3dr6hwg0zee8pm43bt_gzhxj9l_1r99orqjfmvtchz2a_6p5.exe 2b218368b427eca6cc2ee35a4d03a7bc 14
16. _nnmyw203hl_2jipz8eiamg3qzxllt7whil9egmynr8b6_irqjccbo7spo8co8nm.exe dd8039995c5c218eae97b0bd1f2e65b0 12
17. jqdhq7n98xuae9b_j6ys2aayb8jbg62tsxjck9qs85ud2fz29np_yyrrvabferaf.exe 1495cc33f092057224f04dccef9d8219 11
18. monter.exe 835a3ed7cab69a3cde75402a59a843e6 6
19. monter.exe 25a2930568080b56c849557993062735 1
20. 1619697c3da1328767c690cadbe416f4942b1ab04a04fef9264fea44fb1b0ac5.crdownload df00d1192451268c31c1f8568d1ff472 1
21. a3064bed5b34056187313decc580ff2bcb22724202f8add0d0e836ed7cfd91ac.crdownload eaad7777d588deef9db962f2863f8b9b 1
22. 7dfc76beb5d8fc3b1ecf4de9ac204ad2 7dfc76beb5d8fc3b1ecf4de9ac204ad2 0
Più file

Dettagli del registro

Trojan.TrickBot può creare la seguente voce o voci di registro:
File name without path
44893m9uh88g9l9_nkubyhu6vfxxbh989xo7hlttkppzf29ttdu6kwppk_11c1jl.exe
Regexp file mask
%APPDATA%\[RANDOM CHARACTERS].exe
%HOMEDRIVE%\mssvca.exe
%HOMEDRIVE%\mswvc.exe
%HOMEDRIVE%\stcvc.exe
%HOMEDRIVE%\stsvc.exe
%LOCALAPPDATA%\TempQce34.exE

Directory

Trojan.TrickBot può creare la seguente directory o directory:

%APPDATA%\AMNI
%APPDATA%\CloudApp
%APPDATA%\DirectTools
%APPDATA%\GpuSettings
%APPDATA%\NetSocket
%APPDATA%\NuiGet
%APPDATA%\SystemApps
%APPDATA%\WNetval
%APPDATA%\WSOG
%APPDATA%\WinNetCore
%APPDATA%\WinSocket
%APPDATA%\adirecttools
%APPDATA%\anydeskadserv
%APPDATA%\cashcore
%APPDATA%\chromedata
%APPDATA%\cleanmem
%APPDATA%\cmdcache
%APPDATA%\cpumon
%APPDATA%\diskram
%APPDATA%\dllsyslib
%APPDATA%\extvisual
%APPDATA%\gpuTools
%APPDATA%\gpudriver
%APPDATA%\gpuhealth
%APPDATA%\iCloud
%APPDATA%\mscache
%APPDATA%\mscloud
%APPDATA%\mslibrary
%APPDATA%\netcache
%APPDATA%\netrest
%APPDATA%\nocsys
%APPDATA%\safessd
%APPDATA%\smcvs
%APPDATA%\speedlan
%APPDATA%\speedlink
%APPDATA%\syscache
%APPDATA%\sysexts
%APPDATA%\syshealth
%APPDATA%\sysswap
%APPDATA%\taskhealth
%APPDATA%\temporx
%APPDATA%\vcneo
%APPDATA%\winnet
%APPDATA%\wnetwork
%LOCALAPPDATA%\runningpost
%LOCALAPPDATA%\wnetwork
%UserProfile%\Local Settings\Application Data\wnetwork
%WINDIR%\System32\config\systemprofile\AppData\Roaming\gpuTools
%appdata%\WinDirectTools
%appdata%\monolib
%appdata%\monolibrary
%appdata%\netwinlib
%appdata%\services
%appdata%\sysdefragler
%appdata%\vpnpr
%appdata%\windirect
%localappdata%\deploytexas

Tendenza

I più visti

Caricamento in corso...