Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Il trojan bancario TrickBot arriva alla componente dello screen-locker
- VENERDÌ 23 MARZO 2018


La versione più recente del trojan bancario TrickBot (ne avevamo già parlato qui) include adesso una componente screen-locker: è cioè in grado di bloccare lo schermo di un dispositivo impedendone lo sblocco, rendendo nei fatti impossibile l'utilizzo del dispositivo stesso. Fino ad oggi Trickbot è stato solo un trojan bancario, ma l'aggiunta di questa componente fa pensare che, nel caso in cui la vittima non sia un utente di e-banking, gli sviluppatori di Trickbot si avviino sulla strada della richiesta di riscatto. 

La buona notizia è che il meccanismo di screen-locker non è ancora del tutto funzionante e sembra che sia ancora in fase di sviluppo.  Tuttavia, vari ricercatori di sicurezza hanno individuato il nuovo modulo installato sui computer delle vittime:  lo sviluppo è abbastanza avanzato da aver raggiunto lo stadio della "prova sul campo"

Il nuovo modulo screen-locker è ancora in fase di sviluppo
Il modulo dello screen-locker è parte di uno dei molti file che TrickBot installa sui computer delle vittime. I primi avvistamenti di questo nuovo modulo risalgono alla scorsa settimana, 15 marzo.  TrickBot, pur essendo noto per essere principalmente un trojan bancario, si è evoluto negli ultimi anni fino a diventare un "dropper malware", cioè un malware deputato a distribuire altri malware oltre che se stesso. Gli autori di TrickBot infettano le vittime con un tipo di malware iniziale che è specializzato esclusivamente nella distribuzione dei vari moduli di TrickBot, responsabili delle varie operazioni compiute da TrickBot stesso. Moduli precedentemente conosciuti includono l'attuale trojan bancario (l'injector del browser), ma anche un modulo che invia e-mail di spam da host infetti e un worm SMB auto-replicante che si diffonde efficacamente nelle reti più ampie grazie a movimenti laterali. 

Il 15 marzo, il dropper iniziale di TrickBot ha cominciato a scaricare un file chiamato tabDll32.dll (oppure tabDll64.dll) che ha installato altri tre file chiamati:
  • Spreader_x86.dll - un modulo di TrickBot che tenta di diffondersi in altri computer sulla stessa rete attraverso l'SMB sfruttando EternalRomance (un exploit kit sottratto all'Agenzia di Sicurezza Nazionale USA) e altri exploit corretti dalla patch di sicurezza MS17-010
  • SsExecutor_x86.exe - un modulo di TrickBot usato assieme al primo, che viene eseguito dopo la compromissione iniziale. Il modulo stabilisce anche la persistenza al riavvio sul computer compromesso. 
  • ScreenLocker_x86.dll - il modulo di TrickBot che blocca lo schermo del computer/dispositivo infetto. Non cripta i file. 
Il modulo screen-locker sviluppato per le reti aziendali
La cosa che salta all'occhio è il fatto che TrickBot già dall'estate del 2017 disponeva di un componente worm auto-replicante sul SMB, installato come un file chiamato wormDll32.dll. Tutti e tre i file installati tramite questo modulo recentemente scoperto sembrano essere stati progettati per lavorare insieme, uno dopo l'altro, ignorando l'originale componente del worm, e con lo screen-locker attivato dopo essersi diffuso lateralmente attraverso la rete. Questo ha portato i ricercatori di sicurezza a credere che questo modulo fosse stato sviluppato come un metodo one-click per monetizzare le infezioni nelle reti aziendali, dove è meno probabile che gli utenti utilizzino servizi di e-banking, indipendentemente dall'originale worm del SMB. 

Sebbene non ci sia stata nessuna operazione di critptazione di file osservata nelle versioni attuali, questo non significa che il modulo attuale non riceverà ulteriori aggiornamenti: in quel caso inizierebbe ad avere un funzionamento sovrapponibile a quello di un ransomware.  


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

GIOVEDÌ 14 OTTOBRE 2021
Quick Heal: report 2° trimestre 2021 sulle minacce informatiche. Le minacce per Android
Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 1° trimestre 2021. Si divide in due sezioni, una per Windows e una per A...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

P.IVA: 05345670482
Telefono: 055430352
distribuito da
© 2021 nwk - Privacy Policy - Cookie Policy - Login