Trickbot ruba le credenziali e recentemente ha diffuso un ransomware. ESET Research ha contribuito al successo delle operazioni con l’analisi tecnicaù
I ricercatori di ESET hanno partecipato a un’operazione per contrastare la botnet Trickbot, che dal 2016 ha infettato oltre un milione di dispositivi informatici. In collaborazione con Microsoft, Lumen’s Black Lotus Labs Threat Research, NTT e altri vendor, l’operazione ha fermato Trickbot grazie all’individuazione dei server di comando e controllo. ESET ha contribuito al risultato con le analisi statistiche e tecniche sui nomi di dominio e IP dei server Command & Control. Il malware Trickbot è noto per il furto di credenziali da computer violati e più recentemente ne è stato osservato l’utilizzo come veicolo di consegna per attacchi più dannosi, di tipo ransomware.
ESET Research ha monitorato Trickbot fin dalla prima scoperta che risale alla fine del 2016. Nel solo 2020, la piattaforma di tracciamento botnet di ESET ha analizzato più di 125.000 codici dannosi e scaricato e decifrato più di 40.000 file di configurazione utilizzati dai diversi moduli Trickbot, fornendo un’efficace punto di osservazione dei diversi server C&C utilizzati da questa botnet.
“Nel corso degli anni abbiamo monitorato e segnalato costantemente le attività di Trickbot, che l’hanno resa una delle più grandi e longeve botnet esistenti. Trickbot è uno dei malware bancari più diffusi, e questo ceppo rappresenta una minaccia per gli utenti di internet a livello globale”, sottolinea Jean-Ian Boutin, Head of Threat Research di ESET.
Nel corso della sua esistenza questo malware è stato diffuso in diverse modalità. Recentemente, con maggiore frequenza è stata osservata una catena in cui Trickbot viene lasciato su sistemi già compromessi da Emotet, un’altra botnet. In passato il malware Trickbot veniva utilizzato per lo più come trojan bancario, per sottrarre credenziali dai conti online con l’obiettivo di eseguire trasferimenti fraudolenti di denaro.
Uno dei più vecchi plugin sviluppati per la piattaforma consente a Trickbot di utilizzare Web injects, una tecnica che permette al malware di cambiare dinamicamente ciò che l’utente di un sistema violato visualizza visitando siti web specifici. “Con il nostro monitoraggio delle campagne Trickbot abbiamo raccolto decine di migliaia di file diversi di configurazione, e questo ci ha permesso di individuare i siti web presi di mira dagli operatori di Trickbot. Gli URL coinvolti appartengono per la maggior parte a istituti bancari”, aggiunge Boutin.
“Cercare di interrompere questa minaccia insidiosa è molto impegnativo perché ha vari meccanismi di fallback e la sua interconnessione con altre cyberminacce molto attive rende l’operazione estremamente difficile”, conclude Boutin di ESET.
Maggiori informazioni tecniche su Trickbot sono disponibili nel post “ESET partecipa a un’operazione mondiale per fermare Trickbot” su WeLiveSecurity.