Attenzione! Il Trojan TrickBot è tornato! - SABATO 19 AGOSTO 2017 ![]() Il Trojan TrickBot venne individuato la prima volta intorno alla metà del 2016 e fu considerato similare al trojan bancario Dyreza. Inizialmente il payload (la componente di un virus che esegue attività dannosa) fu diffuso attraverso campagne di malvertising usando l'exploit kit Rig. Stando alle nostre recenti scoperte, TrickBot ha modificato le proprie tecniche di diffusione (anche perchè l'exploit kit RIG ha subito un duro colpo da parte di alcuni ricercatori di sicurezza): adesso si diffonde usando la botnet Necurs (un vero e proprio distributore di malware, ransomware inclusi). 1. Per prima cosa avevamo individuato una campagna di email di spam che distribuiva il trojan TrickBot. Era una email vuota, senza oggetto, ma contenente un allegato del tipo SCAN_4744.doc o SCAN_1254.doc. ![]() Il file .doc conteneva una macro integrata: la sua funzionalità era simile a quella della famiglia di trojan Dridex. 2. Questa volta invece la campagna di spam usa un allegato zip con nomi variabili, ma con parole chiave come "Invoice" (fattura), come mostrato sotto. ![]() L'archivio .zip "Invoicepis_[numeri random].zip" contiene un altro zip che contiene al suo interno un file wsf. ![]() Il file .wsf viene eseguito usando wscript.exe di Windows e scarica un file criptato senza estensione nella cartella %temp%: subito dopo questo file viene decriptato nella stessa location e si presenta come un file eseguibile. Quindi copia se stesso nella cartella %appdata%\winapp
Oltre a ciò, vengono scaricati altri due componenti aggiuntivi, quali "client_id" e "group_tag".
3. Il 14 Giugno abbiamo individuato un'altra campagna di diffusione di TrickBot. ![]() Questa volta l'archivio .zip contiene un allegato .docm che, a sua volta, ha una macro integrata. Se abilitata, la macro scarica e installa componenti del trojan TrockBot sulla macchina infetta. ![]() L'individuazione da parte di Quick Heal 1. Quick Heal è in grado di individuare i file .doc, .wsf e il payload scaricato. ![]() ![]() 2. L'individuazione su base comportamentale di Quick Heal individua le attività dannose di TrickBot ![]() Misure precauzionali 1. Non aprire allegati email ricevuti da mittenti sconosciuti, inaspettati o indesiderati. 2. Apri tutti i documenti e i file PDF ricevuti via email solo in modalità "Visualizzazione protetta" (sola lettura). Leggi tutte le news | Leggi tutti gli update |
|
|
|||||
|