Check Point analizza Trickbot: da trojan bancario a strumento per diffondere malware che fa oltre 140.000 vittime
di Alberto Falchi pubblicata il 16 Febbraio 2022, alle 16:01 nel canale SecurityL'infrastruttura di Trickbot può essere utilizzata da varie famiglie di malware per causare più danni sulle macchine infette e gli hacker stanno scalando in modo selettivo obiettivi di alto profilo per sottrarre dati sensibili
Trickbot non è una minaccia nuova. Si tratta di un trojan bancario scoperto nel 2016 che col tempo si è evoluto sino a diventare uno dei malware più diffusi. Se inizialmente era usato solo per sottrarre credenziali bancarie, col tempo si è evoluto in un più complesso ecosistema di malware. Secondo le analisi di Check Point Research, dal novembre 2020 Trickbot ha infettato più di 140.000 dispositivi, inclusi quelli dei clienti di aziende come Microsoft, Amazon, Google e Paypal.
Trickbot: da trojan bancario a un sistema modulare di malware
I ricercatori di Check Point Research mettono in guardia da Trickbot, una delle minacce più diffuse, soprattutto durante la pandemia, quando è stato utilizzato per diffondere in ospedali e altri enti il ransomware Ryuk.
Il metodo di attacco è il classico phishing: si diffonde sotto forma di documento allegato a delle email. Quando una vittima li apre, questi documenti eseguono macro che eseguono un malware, tramite il quale viene scaricato il payload di Trickbot. Una volta eseguito questo, viene stabilita la persistenza sulla macchina della vittima. A questo punto gli attaccanti possono caricare una serie di moduli ausiliari, che permettono di rubare credenziali di accesso, dati bancari o altro.
A livello globale, ha colpito un'azienda ogni 45 e l'area dove è più diffuso è APAC, Asia-Pacifico, dove ha colpito un'organizzazione ogni 30. Una peculiarità di questi attacchi è che i criminali informatici non si limitano a diffonderlo casualmente, ma prendono di mira specifiche aziende utilizzando database di e-mail sottratti.
“I numeri di Trickbot sono impressionanti. Abbiamo documentato oltre 140.000 macchine infette tra le più grandi e rispettabili aziende del mondo", commenta Alexander Chailytko, Cyber Security, Research & Innovation Manager di Check Point Software Technologies. "Abbiamo notato che questi hacker hanno l'abilità di sviluppare il malware da un livello molto basso e prestano attenzione ai piccoli dettagli. Trickbot attacca vittime di alto profilo per rubare le credenziali e fornire agli autori l'accesso ai portali con dati sensibili, dove possono causare ancora più danni. Allo stesso tempo, gli autori dietro l'infrastruttura sono anche molto esperti nello sviluppo di malware ad alto livello. La combinazione di questi due fattori è ciò che permette a Trickbot di rimanere una minaccia pericolosa per oltre 5 anni. Invito caldamente le persone ad aprire solo documenti provenienti da fonti fidate e ad usare password diverse sui diversi siti web”.
A questo indirizzo è disponibile un'analisi tecnica approfondita su questa minaccia.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".