Trojan.TrickBot
Cartoncino segnapunti di minaccia
Scheda di valutazione delle minacce di EnigmaSoft
Le EnigmaSoft Threat Scorecard sono rapporti di valutazione per diverse minacce malware che sono state raccolte e analizzate dal nostro team di ricerca. Le EnigmaSoft Threat Scorecard valutano e classificano le minacce utilizzando diverse metriche tra cui fattori di rischio reali e potenziali, tendenze, frequenza, prevalenza e persistenza. Le EnigmaSoft Threat Scorecard vengono aggiornate regolarmente in base ai dati e alle metriche della nostra ricerca e sono utili per un'ampia gamma di utenti di computer, dagli utenti finali che cercano soluzioni per rimuovere il malware dai loro sistemi agli esperti di sicurezza che analizzano le minacce.
Le schede di valutazione delle minacce di EnigmaSoft mostrano una serie di informazioni utili, tra cui:
Classifica: la classifica di una particolare minaccia nel database delle minacce di EnigmaSoft.
Livello di gravità: il livello di gravità determinato di un oggetto, rappresentato numericamente, in base al nostro processo di modellazione del rischio e alla nostra ricerca, come spiegato nei nostri criteri di valutazione delle minacce .
Computer infetti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
Vedere anche Criteri di valutazione delle minacce .
Classifica: | 3,985 |
Livello di minaccia: | 80 % (Alto) |
Computer infetti: | 29,315 |
Visto per la prima volta: | October 17, 2016 |
Ultima visualizzazione: | November 11, 2023 |
Sistemi operativi interessati: | Windows |
Trojan.TrickBot, un trojan bancario, sembra essere il successore di Dyre, un noto trojan bancario che era già responsabile di numerosi attacchi in tutto il mondo. Esiste sicuramente una connessione tra i due Trojan. Queste minacce si evolvono costantemente, acquisendo nuove funzionalità mentre difendono dalle nuove misure di sicurezza implementate dai ricercatori sulla sicurezza dei PC. Dyre , noto anche come Dyreza, sembra essersi evoluto in Trojan.TrickBot, un nuovo Trojan bancario.
Questa settimana nell'episodio 20 di malware, parte 2: malware Bazar collegato a campagne di Trojan bancari Trickbot per rubare dati personali
Trojan.TrickBot è apparso per la prima volta nell'ottobre 2016 e all'epoca attaccava solo le banche in Australia. A partire da aprile 2017, sono stati segnalati anche attacchi contro le principali banche nel Regno Unito, Stati Uniti, Svizzera, Germania, Canada, Nuova Zelanda, Francia e Irlanda. Altri nomi con cui è noto questo Trojan includono TheTrick, Trickster, TrickLoader, Trojan.TrickBot.e, ecc. Una delle versioni più recenti del malware è stata aggiornata per prendere di mira i cryptowallet dopo che il cryptomining è diventato popolare alla fine del 2017. Anche nel 2017 Gli autori del Trojan bancario hanno aggiunto al proprio codice un componente di auto-diffusione che ha reso il malware capace di auto-propagarsi. Ovviamente, l'obiettivo era quello di infettare il maggior numero di computer possibile e persino intere reti con Trojan.TrickBot. Nel 2018, Trojan.TrickBot è apparso di nuovo con una gamma di funzionalità ancora più ampia.
Sommario
A TrickBot piace collaborare con altre minacce malware
Nel gennaio 2019, i ricercatori hanno scoperto una campagna attiva di ransomware Ryuk in cui le vittime mirate erano state precedentemente attaccate da Emotet e TrickBot. Ci sono prove che i criminali informatici abbiano prima consegnato Emotet tramite e-mail di spam e varie tecniche di ingegneria sociale. In questo schema, un computer infettato da Emotet è stato utilizzato per distribuire TrickBot, che a sua volta ha rubato informazioni sensibili che hanno aiutato gli aggressori a scoprire se la vittima è un obiettivo del settore adatto. In tal caso, distribuiranno il ransomware Ryuk alla rete dell'azienda. In precedenza, nel maggio 2018, TrickBot ha anche collaborato con un altro Trojan bancario, IcedID.
Quando si lavora da solo, TrickBot in genere si diffonde su allegati di posta elettronica danneggiati camuffati da documento di Microsoft Office con macro abilitate. Quando il file viene aperto, gli script dannosi vengono eseguiti e scaricano furtivamente il malware. Le ultime versioni di TrickBot dall'inizio del 2019 vengono fornite tramite e-mail di spam a tema stagionale che fingono di provenire da una grande società di consulenza finanziaria. Le e-mail attirano gli utenti con contenuti fiscali, promettendo aiuto con alcune questioni fiscali negli Stati Uniti. Tuttavia, una volta aperto, il foglio di calcolo Microsoft Excel allegato all'e-mail rilascia TrickBot sul computer dell'utente.
Una breve analisi del predecessore di Trojan.TrickBot, il Dyre Trojan
Il Dyre Trojan , che è associato a una vasta botnet composta da centinaia di migliaia di computer infetti, ha attaccato decine di migliaia di computer in tutto il mondo nel novembre 2015. Più di mille banche e istituti finanziari potrebbero essere stati compromessi da Dyre. Le attività di questa minaccia si sono interrotte nel novembre del 2015, che ha coinciso con l'irruzione negli uffici di un'azienda russa che faceva parte del gruppo di truffatori responsabile di Dyre. Sfortunatamente, sembra che qualcuno che è stato coinvolto nello sviluppo di Dyre nel 2015 possa ora partecipare allo sviluppo di Trojan.TrickBot.
Monitoraggio dell’evoluzione di Trojan.TrickBot
Trojan.TrickBot è stato rilevato per la prima volta nel settembre 2016 in una campagna di minacce rivolta agli utenti di computer in Australia. Alcune delle istituzioni finanziarie australiane che sono state colpite includono NAB, St. George, Westpac e ANZ. Gli attacchi iniziali di Trojan.TrickBot hanno coinvolto un modulo collector. I campioni più recenti di Trojan.TrickBot includono anche webinject nel loro attacco e sembrano essere ancora in fase di test.
Esistono diversi motivi per cui gli analisti della sicurezza dei PC sospettano che esista una forte connessione tra Trojan.TrickBot e Dyre. Il caricatore coinvolto nella maggior parte degli attacchi è molto simile. Una volta decodificate le minacce, le somiglianze diventano molto ovvie. Ciò significa che molti dei truffatori responsabili dello sviluppo e dell'implementazione di Dyre sembrano essere tornati attivi, sfuggendo all'arresto e riprendendo le attività un anno dopo gli attacchi di Dyre. Trojan.TrickBot sembra essere una versione riscritta di Dyre, mantenendo molte delle stesse funzioni ma scritte in modo diverso. Rispetto a Dyre, c'è una grande quantità di codice in C ++ nell'implementazione di Trojan.TrickBot. Trojan.TrickBot sfrutta CryptoAPI di Microsoft piuttosto che avere funzioni integrate per le corrispondenti operazioni di crittografia. Le seguenti sono le differenze tra Trojan.TrickBot e Dyre:
- Trojan.TrickBot non esegue direttamente i comandi ma interagisce invece con l'Utilità di pianificazione utilizzando COM per mantenere la persistenza sul computer infetto.
- Anziché utilizzare una routine di hashing SHA256 incorporata o una routine AES, Trojan.TrickBot utilizza l'API Microsoft Crypto.
- Mentre Dyre è stato scritto utilizzando principalmente il linguaggio di programmazione C, Trojan.TrickBot utilizza una porzione più ampia di C ++ per il suo codice.
- Oltre ad attaccare le grandi banche internazionali, Trojan.TrickBot può anche rubare dai portafogli Bitcoin.
- TrojanTrickBot ha la capacità di raccogliere e-mail e credenziali di accesso tramite lo strumento Mimikatz.
- Nuove funzionalità vengono inoltre costantemente aggiunte a Trojan.TrickBot.
Queste differenze, tuttavia, sembrano indicare che esiste una chiara relazione tra Dyre e Trojan.TrickBot, ma quel Trojan.TrickBot rappresenta in realtà una fase più avanzata di sviluppo della minaccia precedente. Trojan.TrickBot viene caricato utilizzando il programma di caricamento delle minacce "TrickLoader", che è stato associato a molte altre minacce, tra cui Pushdo , Cutwail e Vawtrak . Cutwail, in particolare, è stato associato anche alla minaccia Dyre, rendendo probabile che i truffatori responsabili di Trojan.TrickBot stiano tentando di ricostruire le vaste capacità di cui godevano con il loro precedente attacco.
Dettagli operativi
Trojan.TrickBot è una seria minaccia per la privacy degli utenti poiché il suo scopo principale è quello di rubare le credenziali di accesso dell'utente per i siti Web di banking online, account Paypal, portafogli di criptovaluta e altri account finanziari e personali. Il malware utilizza due tecniche per indurre le sue vittime a fornire i dati. La prima tecnica è chiamata iniezione statica e consiste nel sostituire la pagina di accesso del sito Web bancario legittimo con una falsa che la copia esattamente. Il secondo metodo è chiamato iniezione dinamica e prevede il dirottamento del browser della vittima e il reindirizzamento a un server controllato dagli operatori del malware ogni volta che l'utente immette un URL che appartiene a un sito Web bancario mirato. In entrambi i casi, i dati di accesso inseriti dall'utente vengono acquisiti e inviati agli operatori di Trojan.TrickBot e, rispettivamente, possono essere utilizzati in modo improprio per commettere frodi finanziarie.
Trojan.TrickBot viene fornito in diversi moduli e un file di configurazione. Ciascuno dei moduli svolge un'attività specifica, come garantire la propagazione e la persistenza del malware, il furto di credenziali e così via. Per evitare il rilevamento, i moduli dannosi vengono iniettati in processi legittimi, incluso svchost. Inoltre, TrickBot tenta di disabilitare ed eliminare Windows Defender come un'altra misura per ridurre la possibilità di essere rilevato.
La cartella di installazione di Trojan.TrickBot si trova in C: \ user \ AppData \ Roaming \% Name%, dove "% Name%" dipende dalla particolare versione del malware. C'è anche una copia di TrickBot con un nome leggermente diverso nella stessa cartella, così come un file settings.ini e una cartella Dati. TrickBot garantisce la sua persistenza creando un'attività pianificata e un servizio. Il nome dell'attività dipende dalla variante del malware, potrebbe essere denominato "NetvalTask", ad esempio. La voce di registro viene generata in modo casuale e si trova sotto l'hive del servizio, ad esempio \ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath. Gli operatori di Trojan.TrickBot configurano i server Command & Control con cui il malware comunica sui router wireless hackerati.
Le versioni più recenti di TrickBot sono dotate di funzionalità avanzate
Nel novembre 2018, le versioni aggiornate di Trojan.TrickBot hanno raggiunto il mercato del malware, dimostrando funzionalità più avanzate. Tra queste c'è la funzionalità di blocco dello schermo osservata in alcune versioni del malware apparse nei diversi mesi precedenti a novembre 2018. Alcuni ricercatori credevano in quel momento che attraverso questo nuovo componente gli autori del malware mirassero a trattenere le vittime per il riscatto se il Trojan fosse stato incapace di esfiltrare credenziali bancarie dal computer infetto. Verso novembre 2018 sono state aggiunte anche funzionalità migliorate per evitare il rilevamento. Tuttavia, una funzionalità ancora più pericolosa è stata aggiunta all'arsenale di Trojan.TrickBot in quel momento tramite un nuovo modulo per l'acquisizione di password chiamato "pwgrab": il malware non era più interessato al visitato solo dai siti web degli utenti, ma è stato anche in grado di dirottare applicazioni popolari e rubare le password salvate da lì. Oltre a ciò, TrickBot ha anche iniziato a raccogliere dati di navigazione e di sistema, come cookie, termini di ricerca, cronologia, informazioni sulla CPU, processi in esecuzione e così via. Inoltre, il Trojan ha la capacità di aggiornarsi una volta installato su una macchina, il che significa che un computer infetto avrà sempre l'ultima versione di TrickBot indipendentemente da quando si è verificata l'infezione iniziale.
Un'altra nuova versione di Trojan.TrickBot è stata scoperta dai ricercatori Trend Micro nel gennaio 2019. Questa nuova variante ha aggiunto tre nuove funzionalità al modulo di furto delle password di TrickBot, progettato per indirizzare Virtual Network Computing (VNC), PuTTY e Remote Desktop Protocol Piattaforme (RDP). Il modulo pwgrab di TrickBot acquisisce le credenziali VNC cercando file contenenti ".vnc.lnk" nei loro nomi all'interno di "% APPDATA% \ Microsoft \ Windows \ Recent", "% USERPROFILE% \ Documents" e "% USERPROFILE% \ Cartelle "Download". Per acquisire le credenziali PuTTY e RDP, TrickBot cerca nella chiave di registro Software \ SimonTatham \ Putty \ Sessions e utilizza "l'API CredEnumerateA" per identificare e rubare le password salvate. Quindi, per identificare il nome utente, il nome host e la password salvati per credenziale RDP, il malware analizza la stringa "target = TERMSRV". TrickBot scarica un file di configurazione denominato "dpost" dal server Command & Control degli operatori e utilizza un comando POST impostato per esfiltrare le credenziali VNC, PuTTY e RDP raccolte dai dispositivi infetti.
Nel gennaio 2019, i ricercatori hanno anche scoperto che TrickBot funge anche da Access-as-a-Service per altri attori: una volta che infetta una macchina, la trasforma in un bot e crea gusci inversi, consentendo così ad altri operatori di malware di accedere alla rete infetta e rilascia i propri payload dannosi.
Prevenire gli attacchi Trojan.TrickBot
Il modo migliore per prevenire gli attacchi Trojan.TrickBot è assicurarsi che il computer sia protetto con un programma anti-malware affidabile e completamente aggiornato. Le password per l'online banking dovrebbero essere sicure e dovrebbe essere implementata un'autenticazione in due passaggi. Fai attenzione quando gestisci i tuoi conti bancari online, eviti queste operazioni su computer sconosciuti e scansiona regolarmente il tuo computer alla ricerca di minacce con un'applicazione di sicurezza aggiornata.
SpyHunter rileva e rimuove Trojan.TrickBot
Dettagli del file system
# | Nome del file | MD5 |
Rilevazioni
Rilevamenti: il numero di casi confermati e sospetti di una particolare minaccia rilevati su computer infetti come riportato da SpyHunter.
|
---|---|---|---|
1. | osqtfgwbhddfk_6uuom5e_whpvlf1aykllyyz_bds5ifmrgqrqih0yrdnnwxs437.exe | b33d85ace606ae9ba59921d45b755cf8 | 64 |
2. | monter.exe | 8dd6747e7ff790723a9449d085c86fc8 | 63 |
3. | cmslase.exe | c2703692c92cd9acb42a6112a2c990ac | 61 |
4. | alixqbuzlh7q0_rgjq0uxei67anelu_5fyn_wfzoza3e7yqb83gq8yfoasue4ckm.exe | e0b6bbd9bc80c81573743aba3a1494ba | 45 |
5. | u03wrzlmz8o06idm698895hzwni4rg2vym87c6m3jnengnqlcw29to1aogz4_zxb.exe | 63678274328832e7e24b8f0950f81c22 | 45 |
6. | 7ejs9huc_16gtr8iopvqa5nokd6r9gnf8udwm9knch_wt2od9ea45drh1g6348ck.exe | d2ba8d47e97e896f1c96eb063b488fce | 34 |
7. | wotrer.exe | dec56a7ec9115ff81a098f2a4170504b | 33 |
8. | monter.exe | b212e24c37596cab9338cfdd78566395 | 25 |
9. | cmslase.exe | 26d27317025124ac585c1a463e2986e4 | 24 |
10. | wotrer.exe | 0450e57c7fb70c44bd4fc95cafc061da | 23 |
11. | 9nqgwv8fbtif4uwo0doaf_soay33wbvced8qyhz_gdfvk5sim8qss2lg3xls85ud.exe | 682d94a60e5e5a360a1c4c5a00c45f3f | 19 |
12. | a0jcwvsyoru6vrdxkehkrjemn67g5vdzx8rm6zbhjeghyrphjasentbjs8k2bdtw.exe | 33e022862d91a662d0f979ff57e0a048 | 19 |
13. | 44983o8uh99g8n8_pmubyhu7vfxxbh898xq8hnttmrrzf28tudu7mwrrm_11c1jn.exe | 1cd7efb64b3e7bf1daaf857ba3ae4663 | 17 |
14. | 44783m8uh77g8l8_nkubyhu5vfxxbh878xo6hlttkppzf28tsdu5kwppk_11c1jl.exe | d4843dd4f0545ff524522a9f044e1d0f | 15 |
15. | qsdruqrqvj_g8va_3dr6hwg0zee8pm43bt_gzhxj9l_1r99orqjfmvtchz2a_6p5.exe | 2b218368b427eca6cc2ee35a4d03a7bc | 14 |
16. | _nnmyw203hl_2jipz8eiamg3qzxllt7whil9egmynr8b6_irqjccbo7spo8co8nm.exe | dd8039995c5c218eae97b0bd1f2e65b0 | 12 |
17. | jqdhq7n98xuae9b_j6ys2aayb8jbg62tsxjck9qs85ud2fz29np_yyrrvabferaf.exe | 1495cc33f092057224f04dccef9d8219 | 11 |
18. | monter.exe | 835a3ed7cab69a3cde75402a59a843e6 | 6 |
19. | monter.exe | 25a2930568080b56c849557993062735 | 1 |
20. | 1619697c3da1328767c690cadbe416f4942b1ab04a04fef9264fea44fb1b0ac5.crdownload | df00d1192451268c31c1f8568d1ff472 | 1 |
21. | a3064bed5b34056187313decc580ff2bcb22724202f8add0d0e836ed7cfd91ac.crdownload | eaad7777d588deef9db962f2863f8b9b | 1 |
22. | 7dfc76beb5d8fc3b1ecf4de9ac204ad2 | 7dfc76beb5d8fc3b1ecf4de9ac204ad2 | 0 |
Dettagli del registro
Directory
Trojan.TrickBot può creare la seguente directory o directory:
%APPDATA%\AMNI |
%APPDATA%\CloudApp |
%APPDATA%\DirectTools |
%APPDATA%\GpuSettings |
%APPDATA%\NetSocket |
%APPDATA%\NuiGet |
%APPDATA%\SystemApps |
%APPDATA%\WNetval |
%APPDATA%\WSOG |
%APPDATA%\WinNetCore |
%APPDATA%\WinSocket |
%APPDATA%\adirecttools |
%APPDATA%\anydeskadserv |
%APPDATA%\cashcore |
%APPDATA%\chromedata |
%APPDATA%\cleanmem |
%APPDATA%\cmdcache |
%APPDATA%\cpumon |
%APPDATA%\diskram |
%APPDATA%\dllsyslib |
%APPDATA%\extvisual |
%APPDATA%\gpuTools |
%APPDATA%\gpudriver |
%APPDATA%\gpuhealth |
%APPDATA%\iCloud |
%APPDATA%\mscache |
%APPDATA%\mscloud |
%APPDATA%\mslibrary |
%APPDATA%\netcache |
%APPDATA%\netrest |
%APPDATA%\nocsys |
%APPDATA%\safessd |
%APPDATA%\smcvs |
%APPDATA%\speedlan |
%APPDATA%\speedlink |
%APPDATA%\syscache |
%APPDATA%\sysexts |
%APPDATA%\syshealth |
%APPDATA%\sysswap |
%APPDATA%\taskhealth |
%APPDATA%\temporx |
%APPDATA%\vcneo |
%APPDATA%\winnet |
%APPDATA%\wnetwork |
%LOCALAPPDATA%\runningpost |
%LOCALAPPDATA%\wnetwork |
%UserProfile%\Local Settings\Application Data\wnetwork |
%WINDIR%\System32\config\systemprofile\AppData\Roaming\gpuTools |
%appdata%\WinDirectTools |
%appdata%\monolib |
%appdata%\monolibrary |
%appdata%\netwinlib |
%appdata%\services |
%appdata%\sysdefragler |
%appdata%\vpnpr |
%appdata%\windirect |
%localappdata%\deploytexas |