by Odisseus

TrickBot si arricchisce di nuove capacità offensive, scatenando il panico tra gli esperti di cybersecurity

Siamo alle solite, quando un “virus” già considerato il numero uno dei cattivi nel mondo si arricchisce di nuove capacità offensive, la notizia fa il giro del mondo e i “buoni” si strappano i capelli con infinite e strepitanti lamentazioni. Il “virus” in questione è TrickBot, un malware in grado di realizzare una “botnet” così estesa e pericolosa che perfino Microsoft e il Cyber Command americano – insieme ad altri-, hanno tentato inutilmente di abbattere, senza riuscirci.

L’unica arma contro il malware è leggere il codice binario attraverso la reverse engineering, come ha fatto Vitali Kremez capendo che il malware cercava di scoprire se il sistema bersaglio fosse vulnerabile ad attacchi UEFI

Di fronte a malware come questi, l’unica arma che hanno i buoni, e tra questi c’è Vitali Kremez con la sua AdvIntel, è “leggere” il codice binario di TrickBot per tentare di capire cosa possa combinare una volta penetrato in un dispositivo: si chiama “reverse engineering”, una tecnica in cui lui è bravissimo. Cosi facendo, tentando di risalire dal linguaggio macchina a quello umano, Vitali ha capito che il malware in questione faceva delle “chiamate” specifiche allo scopo di scoprire se il sistema ospitante appena bucato fosse vulnerabile ad attacchi UEFI.

Il virus usa il software che fa partire il pc: si annida nei chip del firmware all’avvio del computer e non sul disco. Quindi, se lo cerchi non lo trovi e se formatti il disco non lo elimini

E poiché il modulo UEFI è fuori dalla portata del disco rigido e risiede direttamente sulla scheda madre, un annidamento di TrickBot in questa area, rende il “virus” difficile da estirpare, garantendone la persistenza: se lo cerchi sul disco non lo trovi, se formatti il disco non lo elimini, se installi di nuovo il sistema operativo, il malware torna perché staziona in un’area deputata alla partenza del PC (che in gergo informatico si chiama “boot”) e che usa come trampolino di lancio. Non a caso, in questi giorni TrickBot si è attirato il nomignolo di TrickBoot. Di fatto, ci troviamo di fronte ad un malware che attiva l’infezione ogni volta che il computer (infetto) si accende.

Il cybercrime cerca di creare malware inestirpabili. A causa di ciò, gli exploit di Hacking Team sono ancora molto ambiti e sfruttati

In effetti i “cattivi” del cybercrime sono spesso condizionati dalla seccatura che qualcuno cancelli la loro creatura. Perciò, sognano di produrre un malware “inestirpabile”, come avevamo già descritto riguardo agli exploit di Hacking Team, ancora disponibili su Internet: l’uso di vulnerabilità nel modulo UEFI. Per questo sono ancora molto ambiti e sempre più sfruttati. Non sorprende quindi che anche il gruppo di criminal hacker dietro TrickBot abbia voluto sfruttarla per cercare di “mantenere le posizioni” e difendere i propri “asset”.