Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Okta, altro che 1%: il breach ha colpito tutti gli utenti
- Google potenzia le difese contro lo spam con RETVec
- IA, QR Code e visori al servizio degli attaccanti: le cyber-previsioni di WatchGuard per il 2024
- Carenza di competenze di cybersecurity: un quarto delle imprese vuole affidarsi agli MSP
- Black Friday ghiotto per il cybercrimine: in vendita 30 milioni di dati di utenti italiani
TrickBot è opera degli autori di Dyre. Ma non erano in galera?
I ricercatori hanno trovato analogie tra il nuovo TrickBot e Dyre, un trojan comparso nel 2014. Gli autori, però, sono stati arrestati l’anno scorso.
Certi malware sono duri a morire. Anche quando si pensa di essersene liberati una volta per sempre, tornano in una nuova versione. Potrebbe essere il caso di Dyre, un malware che secondo i ricercatori di Fidelis Cybersecurity somiglia terribilmente a un nuovo trojan chiamato TrickBot.
L’ipotesi che TrickBot sia opera degli stessi autori di Dyre, però, dovrebbe essere esclusa da un semplice fatto: i cyber-criminali che lo hanno diffuso si trovano nelle patrie galere russe fin dal novembre 2015.
Fino a quel momento, Dyre si era affermato come uno dei più pericolosi trojan bancari mai rilevati prima, al punto che il CERT degli Stati Uniti, nell’ottobre 2014, aveva lanciato un allarme sul livello di diffusione raggiunto dal malware.
Quello che è successo dopo è piuttosto insolito. Nel mese di novembre 2015, infatti, il trojan ha cessato improvvisamente qualsiasi attività e dopo qualche giorno è arrivata la comunicazione da parte delle autorità russe che la gang legata a Dyre era finita in manette.
Un evento piuttosto raro, visto che le forze di polizia della Repubblica Federale Russa non sono famose per avere un grande impegno nel contrastare i gruppi di cyber-criminali che operano dal loro territorio.
In quasi un anno di attività, i pirati sono stati in grado di rubare milioni di dollari. Poi l’arresto…
Ora, però, lo spettro di Dyre sembra essere tornato. Come fanno notare i ricercatori di Fidelis, la struttura di TrickBot è troppo simile a quella del suo “collega” per non far pensare a un collegamento tra i due malware.
L’ipotesi, a loro giudizio, è che si tratti di una riscrittura dello stesso malware, con qualche correzione e l’aggiunta di nuove tecniche che gli permetterebbero di avere una maggiore efficacia. I veri autori di Dyre, quindi, sarebbero ancora a piede libero.
Ma quali elementi in comune hanno i due malware? Dyre, in buona sostanza, è un classico trojan per Windows la cui funzione principale è quella di installarsi sul computer della vittima e sottrarre le credenziali di accesso ai servizi bancari.
A renderlo unico, però, sono i metodi che utilizza per portare a termine il suo compito. Si tratta di due differenti attacchi “Man In The Browser” che funzionano con i tre browser più diffusi: Chrome, IE e Firefox.
Il primo è piuttosto intuitivo: il trojan controlla le pagine che vengono visitate e, quando ne individua una “interessante” dirotta la navigazione verso un falso sito pressoché identico a quello originale.
Di solito si tratta di pagine Web dedicate all’Home Banking, confezionate però in modo da registrare i dati di accesso del visitatore.
La seconda tecnica è decisamente più originale: il trojan infatti è in grado di iniettare una porzione di codice malevolo direttamente nella pagina che la vittima sta visitando. In questo caso, in pratica, la richiesta al Web server legittimo viene intercettata e la pagina viene modificata in modo da permettere ai pirati di rubare le credenziali di accesso.
La pagina Web richiesta viene intercettata e modificata prima di essere visualizzata sul browser.
Ed è proprio l’uso di questa tecnica nel nuovo trojan TrickBot che, secondo i ricercatori di Fidelis, farebbe pensare al fatto che nella creazione del malware ci sia la stessa mano degli autori di Dyre.
TrickBot, per il momento, sembra rivolgere le sue attenzioni solo ad alcuni istituti di credito che operano in Australia, ma la struttura modulare del trojan consente ai suoi autori di ampliarne il raggio di azione senza problemi.
Pur essendo molto simile a Dyre per quanto riguarda le funzionalità, TrickBot sembra una sua evoluzione, che adotta alcune nuove tecniche.
Per prima cosa, usa l’utilità di pianificazione per garantire l’avvio della sua attività a ogni accensione del sistema. Inoltre, il sistema di crittografia usato dal trojan per nascondere i suoi componenti non usa un sistema autonomo di cifratura AES o SHA256 come faceva Dyre, ma utilizza direttamente l’interfaccia Microsoft CryptoAPI.
Analizzando il codice, infine, i ricercatori si sono accorti che buona parte del malware è scritto in C++, mentre il suo predecessore era prevalentemente scritto in C. Insomma: nel corso di questi mesi, gli autori di Dyre e TrickBot si sarebbero dati parecchio da fare.
Il timore, adesso, è che la campagna di distribuzione di TrickBot possa raggiungere gli stessi livelli di quella di Dyre. Nel corso di 12 mesi, infatti, il trojan aveva colpito migliaia di computer e aveva permesso ai cyber-criminali di sottrarre milioni di dollari.
A mettere in allarme i ricercatori, però, è soprattutto il fatto che il troan viene di solito distribuito attraverso un loader molto versatile, che è in grado di scaricare e installare ulteriore malware sui computer compromessi.
Condividi l'articolo
La botnet Mirai raddoppiata di dimensioni in due settimane
Vende droga sul Dark Web, ma il sito è sul server dell’azienda
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama... -
Black Friday e Cyber Monday: è il periodo delle truffe... Secondo l’ultima ricerca di Bitdefender, le truffe...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Okta, altro che 1%: il breach ha colpito tutti gli utenti Okta, la società americana di gestione delle identità, ha... -
Google potenzia le difese contro lo spam con RETVec Google ha rilasciato RETVec, uno strumento open-source per... -
AWS presenta Amazon One Enterprise per autenticarsi col... Durante il re:Invent, la conferenza annuale di Amazon Web... -
Defender Application Guard for Office è ufficialmente... Microsoft ha annunciato che Defender Application Guard for... -
Un gruppo hacktivista iraniano ha colpito un centro idrico... L’autorità idrica comunale di Aliquippa, una città...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
