Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
TrickBot è opera degli autori di Dyre. Ma non erano in galera?
I ricercatori hanno trovato analogie tra il nuovo TrickBot e Dyre, un trojan comparso nel 2014. Gli autori, però, sono stati arrestati l’anno scorso.
Certi malware sono duri a morire. Anche quando si pensa di essersene liberati una volta per sempre, tornano in una nuova versione. Potrebbe essere il caso di Dyre, un malware che secondo i ricercatori di Fidelis Cybersecurity somiglia terribilmente a un nuovo trojan chiamato TrickBot.
L’ipotesi che TrickBot sia opera degli stessi autori di Dyre, però, dovrebbe essere esclusa da un semplice fatto: i cyber-criminali che lo hanno diffuso si trovano nelle patrie galere russe fin dal novembre 2015.
Fino a quel momento, Dyre si era affermato come uno dei più pericolosi trojan bancari mai rilevati prima, al punto che il CERT degli Stati Uniti, nell’ottobre 2014, aveva lanciato un allarme sul livello di diffusione raggiunto dal malware.
Quello che è successo dopo è piuttosto insolito. Nel mese di novembre 2015, infatti, il trojan ha cessato improvvisamente qualsiasi attività e dopo qualche giorno è arrivata la comunicazione da parte delle autorità russe che la gang legata a Dyre era finita in manette.
Un evento piuttosto raro, visto che le forze di polizia della Repubblica Federale Russa non sono famose per avere un grande impegno nel contrastare i gruppi di cyber-criminali che operano dal loro territorio.
In quasi un anno di attività, i pirati sono stati in grado di rubare milioni di dollari. Poi l’arresto…
Ora, però, lo spettro di Dyre sembra essere tornato. Come fanno notare i ricercatori di Fidelis, la struttura di TrickBot è troppo simile a quella del suo “collega” per non far pensare a un collegamento tra i due malware.
L’ipotesi, a loro giudizio, è che si tratti di una riscrittura dello stesso malware, con qualche correzione e l’aggiunta di nuove tecniche che gli permetterebbero di avere una maggiore efficacia. I veri autori di Dyre, quindi, sarebbero ancora a piede libero.
Ma quali elementi in comune hanno i due malware? Dyre, in buona sostanza, è un classico trojan per Windows la cui funzione principale è quella di installarsi sul computer della vittima e sottrarre le credenziali di accesso ai servizi bancari.
A renderlo unico, però, sono i metodi che utilizza per portare a termine il suo compito. Si tratta di due differenti attacchi “Man In The Browser” che funzionano con i tre browser più diffusi: Chrome, IE e Firefox.
Il primo è piuttosto intuitivo: il trojan controlla le pagine che vengono visitate e, quando ne individua una “interessante” dirotta la navigazione verso un falso sito pressoché identico a quello originale.
Di solito si tratta di pagine Web dedicate all’Home Banking, confezionate però in modo da registrare i dati di accesso del visitatore.
La seconda tecnica è decisamente più originale: il trojan infatti è in grado di iniettare una porzione di codice malevolo direttamente nella pagina che la vittima sta visitando. In questo caso, in pratica, la richiesta al Web server legittimo viene intercettata e la pagina viene modificata in modo da permettere ai pirati di rubare le credenziali di accesso.
La pagina Web richiesta viene intercettata e modificata prima di essere visualizzata sul browser.
Ed è proprio l’uso di questa tecnica nel nuovo trojan TrickBot che, secondo i ricercatori di Fidelis, farebbe pensare al fatto che nella creazione del malware ci sia la stessa mano degli autori di Dyre.
TrickBot, per il momento, sembra rivolgere le sue attenzioni solo ad alcuni istituti di credito che operano in Australia, ma la struttura modulare del trojan consente ai suoi autori di ampliarne il raggio di azione senza problemi.
Pur essendo molto simile a Dyre per quanto riguarda le funzionalità, TrickBot sembra una sua evoluzione, che adotta alcune nuove tecniche.
Per prima cosa, usa l’utilità di pianificazione per garantire l’avvio della sua attività a ogni accensione del sistema. Inoltre, il sistema di crittografia usato dal trojan per nascondere i suoi componenti non usa un sistema autonomo di cifratura AES o SHA256 come faceva Dyre, ma utilizza direttamente l’interfaccia Microsoft CryptoAPI.
Analizzando il codice, infine, i ricercatori si sono accorti che buona parte del malware è scritto in C++, mentre il suo predecessore era prevalentemente scritto in C. Insomma: nel corso di questi mesi, gli autori di Dyre e TrickBot si sarebbero dati parecchio da fare.
Il timore, adesso, è che la campagna di distribuzione di TrickBot possa raggiungere gli stessi livelli di quella di Dyre. Nel corso di 12 mesi, infatti, il trojan aveva colpito migliaia di computer e aveva permesso ai cyber-criminali di sottrarre milioni di dollari.
A mettere in allarme i ricercatori, però, è soprattutto il fatto che il troan viene di solito distribuito attraverso un loader molto versatile, che è in grado di scaricare e installare ulteriore malware sui computer compromessi.
Condividi l'articolo
La botnet Mirai raddoppiata di dimensioni in due settimane
Vende droga sul Dark Web, ma il sito è sul server dell’azienda
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
