Campagna di phishing diffonde il malware Trickbot

Una nuova campagna di phishing mirato sta diffondendo il malware Trickbot. È consigliata l'installazione di tutte le patch disponibili per il sistema operativo.

Business Vulnerabilità
Campagne mirate di spear phishing stanno distribuendo il malware Trickbot. L'allerta è dell'FBI e della Cybersecurity and Infrastructure Security Agency (CISA), perché al momento le campagne risultano attive in Nord America. Accade sovente che queste azioni criminali si diffondano in tutto il mondo, quindi è bene tenere alta l'attenzione.

Anche perché Trickbot è un cliente molto scomodo. Inizialmente impiegato come banking trojan, ormai Trickbot è uno degli strumenti più potenti disponibili sulla piazza. La sua natura altamente modulare e i continui aggiornamenti gli permettono di essere usato per ottenere l'accesso remoto alle macchine infette e quindi diffondere malware e ransomware di vario tipo.

Nel caso specifico della campagna attualmente in atto, le potenziali vittime ricevono una email con un collegamento ipertestuale che reindirizza gli utenti a un sito Web ospitato su un server compromesso. Le vittime sono invitate a cliccare su una fotografia per visionare la prova di una violazione del traffico. Chi abbocca scarica inconsapevolmente un file JavaScript che, non appena viene aperto, si connette a un server di comando e controllo e scarica a sua volta Trickbot.
trickbot

Backdoor e ransomware


FBI e CISA ammoniscono circa il fatto che Trickbot crea una backdoor sui computer Windows infetti finalizzata al furto di dati sensibili. È da ricordare che alcune versioni di Trickbot permettono di espandere l'azione sull'intera rete, non solo sul client inizialmente compromesso.

Il rischio maggiore è che i cyber criminali possano utilizzare TrickBot per distribuire ransomware come Ryuk e Conti, o servire come downloader per il malware Emotet. Inoltre, Trickbot può anche essere utilizzato per sfruttare le macchine infette per il cryptomining.Emotet sembra essere stato quasi del tutto smantellato da un'azione congiunta di Europol e Eurojust, mentre Trickbot sembra resistere a ogni tentativo di assedio. A ottobre 2020 un'azione coordinata da Microsoft contro l'infrastruttura chiave di Trickbot sembrava destinata a mettere fine alle sue azioni. In realtà il malware si è ripresentato più resiliente e difficile da estirpare che mai.

A titolo preventivo, gli esperti consigliano di installare con la massima priorità le patch del sistema operativo. Per esempio, i cyber criminali hanno spesso abusato del protocollo SMB più volte oggetto di patching. La formazione ai dipendenti è poi importante per bloccare sul nascere le minacce che vengono recapitate via email.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori