di Pierguido Iezzi

I ricercatori di cyber security scoprono una nuova versione di TrickBot, che usa metodi di brute-force dell’RDP e punta le TLC. Obiettivo: rubare dati

Una nuova variante di TrickBot, che usa metodi di brute-force del Remote Desktop Protocol (RDP) per colpire le potenziali vittime e bypassare i protocolli di sicurezza, sta prendendo di mira principalmente i servizi di telecomunicazione (TLC) negli Stati Uniti e a Hong Kong. Obiettivo del cybercrime: rubare proprietà intellettuale e i dati finanziari. Il malware è un trojan bancario solitamente utilizzato come dropper per altri codici malevoli. La nuova variante, che i ricercatori di cyber security hanno scoperto a fine gennaio, è studiata per colpire anche università e servizi finanziari. Questa versione del trojan ha la capacità di prendere di mira le organizzazioni utilizzando un insieme di nomi utente e password prestabiliti come parte di un attacco di forza bruta. Il modulo rdpScanDll può essere l’ultimo di una lunga serie di moduli utilizzati dal TrickBot Trojan, ma si distingue per l’utilizzo di una lista di indirizzi IP molto specifica. 

I bersagli del malware 

Il nuovo modulo suggerisce che i Criminal Hacker potrebbero anche concentrarsi su verticali diversi da quelle finanziari, come i servizi di telecomunicazione, l’istruzione e la ricerca. Avvistato per la prima volta nel 2016 dagli esperti di cyber security, TrickBot si è evoluto nel corso degli anni, con gli aggressori che nel tempo hanno modificato il codice per effettuare una serie di attacchi. In alcuni casi, il cybercrime ha combinato TrickBot con Emotet per consegnare ransomware. Più di recente il malware è stato utilizzato in attacchi di Sim Swap.

Nella ultima campagna, è stata usata una versione del Trojan con tre plugin: Check, Trybrute e Brute

La natura modulare di TrickBot significa che gli aggressori possono sviluppare varianti del malware per soddisfare le loro esigenze, come hanno fatto in questo caso. Analizzando il codice sono stati infatti scoperti tre nuovi plugin come parte di questa ultima campagna. Il primo, chiamato “Check”, cerca le connessioni vulnerabili dell’RDP dall’elenco degli indirizzi IP mirati. Il secondo, denominato “Trybrute”, aiuta a eseguire l’attacco di forza bruta sulla rete bersaglio. Ciò, cercando di far corrispondere un elenco pre-configurato di nomi utente e password. Il terzo plugin, denominato “Brute”, rimane in fase di sviluppo e la sua vera funzione non è ancora chiara, anche se sembra utilizzare una combinazione di nomi utente e password per autenticare l’attacco. Se questa versione di TrickBot riesce a forzare le credenziali, il tutto viene riportato a un server di comando e controllo per ulteriori istruzioni.

I server di comando e controllo del malware, che sfrutta la vulnerabilità EternalRomance di Windows per muoversi attraverso la rete attraverso il protocollo SMB

I ricercatori di cyber security negli ultimi mesi hanno tracciato numerosi nuovi server di comando e controllo di trickBot. Al momento questi sono oltre 2.900, la maggior parte dei quali si trova in Russia. Fanno riferimento a 3.460 indirizzi IP, suddivisi in 2.926 server di comando e controllo e 556 server dedicati al download di nuovi plugin, e 22 IP che servono entrambi i ruoli. Dopo un attacco brute force riuscito, questa versione del malware sfrutta la vulnerabilità EternalRomance di Windows per muoversi attraverso la rete attraverso il protocollo Server Message Block (SMB). Una volta in rete e spostandosi lateralmente, il codice del cybercrime effettua una ricognizione; raccoglie e ruba dati, tra cui informazioni sul browser, password e nomi utente e dettagli su diverse directory; sottrae informazioni finanziarie da siti bancari e conduce altri attacchi di forza bruta progettati per rubare le credenziali.

Le altre varianti di TrickBot e le minacce per l’Italia

Gli operatori del cybercrime dietro a TrickBot hanno anche creato un modello di Trojan cybercrime-as-a-service (CaaS) e ne affittano le capacità ad altri gruppi di hacker di stato. Nel dicembre 2019, per esempio, sembra che Criminal Hacker legati al governo nord coreano abbiano affittato una botnet creata dal malware, nonché l’accesso a un framework altamente personalizzato, per contribuire al raggiungimento dei loro obiettivi. Tra questi il targeting di alcuni sistemi di pagamento. Insomma, se il Trojan per il momento sembra essersi espanso solamente in Nord America e nel sud est asiatico, un attacco così sofisticato non dovrebbe farsi attendere troppo prima di colpire anche in Europa e in Italia.