Malware Trickbot ha una nuova arma: il modulo vncDll

Scoperto un nuovo modulo del malware Trickbot usato per monitorare e raccogliere informazioni sulle vittime. I centri di comando e controllo sono in aumento.

Business Vulnerabilità
La preoccupazione per il malware Trickbot si amplia di giorno in giorno. Oltre ad essere la peggiore minaccia informatica per l'Italia, questo malware sta anche evolvendo sia nel miglioramento delle proprie capacità di attacco, sia nel rafforzamento dell'infrastruttura che lo sostiene.

Come detto più volte, Trickbot non è una novità. È in circolazione dalla fine del 2016, ed è impiegato per diversi scopi criminali, dal furto di credenziali a quello di informazioni finanziarie, passando per campagne multiuso. Viene spesso impiegato anche per il rilascio di ransomware all'interno delle reti target.

La sua struttura prende ispirazione da Dyre (o Dyreza), e consiste in un ecosistema di moduli plugin e componenti di supporto, che lo rendono particolarmente versatile e gli hanno permesso di sopravvivere al tentativo di smantellamento condotto da diverse aziende di cyber security. Un esempio di questi moduli è quello utilizzato per gli attacchi brute force contro connessioni RDP esposte.
trickbot bitedefenderStando a quanto emerso da una ricerca di Bitdefender, sta diventando sempre più pericoloso. I ricercatori hanno scoperto un modulo VNC (Virtual Networking Computing) che sembra essere in fase di sviluppo attivo con frequenti aggiornamenti e correzioni di bug. È soprannominato vncDll e i criminali informatici dietro a Trickbot lo impiegano per monitorare e raccogliere informazioni su obiettivi selezionati di alto profilo.  

Tale modulo utilizza un protocollo di comunicazione personalizzato che nasconde la trasmissione dei dati tra il sistema della vittima e i server di comando e controllo. Quando è in uso, i ricercatori di sicurezza faticano a comprendere quali dati vengano trasmessi.

La parte più interessante della ricerca è l'identificazione da parte degli esperti di VNCView, l'applicazione software che gli operatori di Trickbot utilizzano per connettersi ai computer delle vittime. Ha permesso di "vedere" direttamente come vengono effettuati gli attacchi: tutti i dettagli sono illustrati in questo PDF online.

trickbot bitedefender 2Oltre ai moduli aggiornati, Bitdefender ha evidenziato un aumento significativo dei centri di comando e controllo distribuiti in tutto il mondo. La maggior parte di quelli noti (54) si concentra in Nord America, 7 sono in Francia, 4 in Spagna e tre in Russia.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori