L'alert del Cert-Pa è di ieri: hanno rilevato direttamente una campagna di email di spam in italiano che diffonde, tramite il solito allegato compromesso, una versione piuttosto recente di TrickBot, un malware molto pericoloso sul quale forniremo, in questo testo, alcuni aggiornamenti.
La campagna di email di spam
Le email di spam, veicolo dell'infezione, sono scritte in italiano e provengono da caselle email realmente esistenti (quindi non create ad hoc per l'attacco): molto probabilmente siamo di fronte a diverse centinaia di account email violati, impiegati per veicolare il malware.
Mittente, oggetto, corpo email, nome dell'allegato sono variabili: tendenzialmente l'allegato contiene un file chiamato "Documento_doganale_XXXXXXX.doc". Sotto due campioni email analizzate dal Cert-Pa:
Fonte: https://www.cert-pa.it/
L'allegato dannoso ha, come nome, una parte fissa “documento_doganale_”, seguita da una serie numerica che varia, ma comunque sempre di 7 cifre: alcuni file dannosi riscontrati dal Cert-Pa sono:
documento_doganale_1693507.doc
documento_doganale_4644896.doc
documento_doganale_3009002.doc
documento_doganale_5288883.doc
documento_doganale_2535400.doc
documento_doganale_3647173.doc
documento_doganale_4648739.doc
documento_doganale_4769863.doc
documento_doganale_6570725.doc
Qualora un utente riceva una email contenente questi file o file con nome simile, è molto importante NON APRIRE L'ALLEGATO e, sopratutto, NON ATTIVARE LA MACRO contenuta.
Quel che colpisce è che questi allegati compromessi presentano, per adesso, un bassissimo livello di individuazione da parte degli antivirus più popolari e diffusi, quindi ad ora gli utenti sono esposti all'attacco, a meno che non siano in grado di individuare l'email di spam e quindi non procedere ad apertura dell'allegato.
TrickBot: parliamone ancora
Il trojan Trickbot è una vecchia conoscenza, individuato la prima volta nel 2016: conosciuto anche come Trickster o TheTrick, ha debuttato sulle scene dal cyber crime esclusivamente come trojan bancario, ma è stato aggiornato costantemente con nuove funzioni, moduli e tecniche di offuscamento sempre più complesse. Inizialmente aveva solo funzionalità da trojan bancario “classico”, ovvero la capacità di estrapolare dalla macchina infetta quante più informazioni finanziarie possibili. Recentemente ha “mutato pelle”, diventando anche un malware dropper, capace cioè di scaricare sulle macchine compromesse anche altre famiglie di ransomware.
L'ultima, recentissima, evoluzione risale a poco meno di una settimana fa: gli attori TrickBot, anziché usare tool già conosciuti, hanno deciso di sviluppare un proprio tool, chiamato PowerTrick, che ha la capacità di diffondere il malware lateralmente lungo una rete. In breve, quando gli attaccanti riescono ad ottenere l'accesso ad una rete, tentano di trovare le credenziali di amministratore e dei singoli utenti quindi diffondono il malware lungo la rete. Questo tipo di movimento laterale viene solitamente eseguito con framework o tool post-exploit appositi, che facilitano la raccolta delle credenziali, l'esecuzione di comandi, la distribuzione di malware.
PowerTrick in dettaglio è un framework post-exploit file less (cioè non necessita di installare file sul sistema per funzionare - è, questa, una tecnica anti individuazione) che consente agli operatori di TrickBot di eseguire ricognizioni silenziose in cerca di dati, garantirsi la persistenza sulla rete e propagare lateralmente il malware.
Non meno importante: il tool procede all'installazione di backdoor che garantiscono agli attaccanti accesso in tempo reale ai sistemi e alla rete. La necessità di sviluppare in proprio un tool, anche se ve ne sono decine simili e molto popolari, origina probabilmente dalla necessità per gli attori di TrickBot di poter ridurre ancora il tasso di individuazione da parte delle soluzioni anti virus e anti malware, ma anche di costruire un tool più adatto alle loro specifiche esigenze.