1. Per prima cosa avevamo individuato una campagna di email di spam che distribuiva il trojan TrickBot. Era una email vuota, senza oggetto, ma contenente un allegato del tipo SCAN_4744.doc o SCAN_1254.doc.

Il file .wsf viene eseguito usando wscript.exe di Windows e scarica un file criptato senza estensione nella cartella %temp%: subito dopo questo file viene decriptato nella stessa location e si presenta come un file eseguibile. Quindi copia se stesso nella cartella %appdata%\winapp

Oltre a ciò, vengono scaricati altri due componenti aggiuntivi, quali "client_id" e "group_tag".

• client Id ha informazioni riguardo al nome della macchina della vittima, la versione del sistema operativo ecc...
• Group tag contiene valuri quali mac1
  

Questo trojan inietta inoltre DLL nei browser installati sulla macchina bersaglio per rubare informazioni quali username e password. Infine, abbiamo notato che, in alcuni casi (sicuramente minoritari), il file .wsf diffonde una nuova variante del ransomware JAFF.

3. Il 14 Giugno abbiamo individuato un'altra campagna di diffusione di TrickBot.


Questa volta l'archivio .zip contiene un allegato .docm che, a sua volta, ha una macro integrata. Se abilitata, la macro scarica e installa componenti del trojan TrockBot sulla macchina infetta.


L'individuazione da parte di Quick Heal
1. Quick Heal è in grado di individuare i file .doc, .wsf e il payload scaricato.



2. L'individuazione su base comportamentale di Quick Heal individua le attività dannose di TrickBot


Misure precauzionali
1. Non aprire allegati email ricevuti da mittenti sconosciuti, inaspettati o indesiderati.
2. Apri tutti i documenti e i file PDF ricevuti via email solo in modalità "Visualizzazione protetta" (sola lettura).