Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Attenzione! Il Trojan TrickBot è tornato!
- SABATO 19 AGOSTO 2017


Il Trojan TrickBot venne individuato la prima volta intorno alla metà del 2016 e fu considerato similare al trojan bancario Dyreza. Inizialmente il payload (la componente di un virus che esegue attività dannosa) fu diffuso attraverso campagne di malvertising usando l'exploit kit Rig. Stando alle nostre recenti scoperte, TrickBot ha modificato le proprie tecniche di diffusione (anche perchè l'exploit kit RIG ha subito un duro colpo da parte di alcuni ricercatori di sicurezza): adesso si diffonde usando la botnet Necurs (un vero e proprio distributore di malware, ransomware inclusi).

1. Per prima cosa avevamo individuato una campagna di email di spam che distribuiva il trojan TrickBot. Era una email vuota, senza oggetto, ma contenente un allegato del tipo SCAN_4744.doc o SCAN_1254.doc.



Il file .doc conteneva una macro integrata: la sua funzionalità era simile a quella della famiglia di trojan Dridex.

2. Questa volta invece la campagna di spam usa un allegato zip con nomi variabili, ma con parole chiave come "Invoice" (fattura), come mostrato sotto.



L'archivio .zip "Invoicepis_[numeri random].zip" contiene un altro zip che contiene al suo interno un file wsf.



Il file .wsf viene eseguito usando wscript.exe di Windows e scarica un file criptato senza estensione nella cartella %temp%: subito dopo questo file viene decriptato nella stessa location e si presenta come un file eseguibile. Quindi copia se stesso nella cartella %appdata%\winapp

Oltre a ciò, vengono scaricati altri due componenti aggiuntivi, quali "client_id" e "group_tag".
  • client Id ha informazioni riguardo al nome della macchina della vittima, la versione del sistema operativo ecc...
  • Group tag contiene valuri quali mac1
Questo trojan inietta inoltre DLL nei browser installati sulla macchina bersaglio per rubare informazioni quali username e password. Infine, abbiamo notato che, in alcuni casi (sicuramente minoritari), il file .wsf diffonde una nuova variante del ransomware JAFF.

3. Il 14 Giugno abbiamo individuato un'altra campagna di diffusione di TrickBot.



Questa volta l'archivio .zip contiene un allegato .docm che, a sua volta, ha una macro integrata. Se abilitata, la macro scarica e installa componenti del trojan TrockBot sulla macchina infetta.



L'individuazione da parte di Quick Heal
1. Quick Heal è in grado di individuare i file .doc, .wsf e il payload scaricato.





2. L'individuazione su base comportamentale di Quick Heal individua le attività dannose di TrickBot



Misure precauzionali
1. Non aprire allegati email ricevuti da mittenti sconosciuti, inaspettati o indesiderati.
2. Apri tutti i documenti e i file PDF ricevuti via email solo in modalità "Visualizzazione protetta" (sola lettura).


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 20 OTTOBRE 2017
Il malware Sockbot scoperto in 8 app nel Play Store: formava una botnet e diffondeva ads
Google ha rimosso 8 app dal proprio Play Store: tutte erano state infettate col malware per Android Sockbot. Queste app si presentavano come app per le skin di Minecraft ...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2017 nwk - Privacy Policy - Login