I ricercatori di Bitdefender hanno scoperto un nuovo TrickBot. Si tratta di un trojan rinnovato costantemente con nuove funzioni, che in questo caso è stato battezzato
rdpScanDll. Ha lo scopo di eseguire attacchi brute force RDP su obiettivi selezionati, più che altro nell'ambito delle telecomunicazioni, dell'education e dei servizi finanziari. Al momento sta colpendo obiettivi principalmente negli Stati Uniti e a Hong Kong.
La sua diffusione finora è avvenuta principalmente attraverso campagne di spam. I ricercatori hanno però rilevato esempi di diffusione in associazione con
Emotet per la distribuzione del
ransomware Ryuk.
Come tutti i TrickBot, anche rdpScanDll ha un’architettura modulare. È flessibile e personalizzabile e può essere diffuso tramite diversi tipi di campagne. Questa versione è molto
complessa e sofisticata, ben più evoluta di quella apparsa sulla scena nel 2016, che minacciava solo il furto di credenziali. A questo giro ha le caratteristiche per svolgere un'ampia gamma di attività criminali. In presenza di un plugin, può arrecare gravi danni.
I recenti "aggiornamenti" apportati dai cyber criminali permettono di prendere mi mira un
elenco specifico di vittime. Si appoggia a un'infrastruttura di C&C dinamica, con base in Russia, che aggiunge oltre 100 nuovi IP C&C ogni mese, con una durata media di circa 16 giorni.
I ricercatori hanno rilevato che rdpScanDll è ancora in fase di sviluppo. Il modulo infatti presenta una modalità di attacco interrotta, che dev'essere completata. Gli aggiornamenti a cui è sottoposto sono costanti, quindi potrebbe diventare ancora più insidioso.