TrickBot è vivo e vegeto. Il trojan, che si credeva essere stato spazzato via, ha iniziato a diffondere i suoi tentacoli con le sue nuove creazioni. Gli operatori del trojan, Wizard Spider, stanno rapidamente adottando nuovi strumenti e tecniche per effettuare ulteriori attacchi.
TrickBot aggiunge il sapore di Zeus al suo modulo
- I ricercatori di Kryptos Logic Threat Intelligence hanno rivelato un nuovo rapporto su un nuovo modello TrickBot che ha una precisa somiglianza con il modello Zeus.
- Questa nuova funzionalità migliorata, injectDll, aggiunta al modulo bancario del trojan aiuterà gli aggressori a rientrare nel gioco delle frodi bancarie.
- Inoltre, l’aggiunta delle funzionalità Man-in-the-Browser (MitB) può essere utilizzata per rubare credenziali bancarie online.
- Il modulo aggiornato viene inviato agli utenti che visitano URL dannosi.
La connessione di TrickBot con il ransomware
- Oltre alla nuova versione di TrickBot, il gruppo di attori delle minacce Wizard Spider è stato collegato a un nuovo ceppo di ransomware chiamato Diavol.
- Sebbene la fonte dell’intrusione sia sconosciuta, il ransomware è stato distribuito in natura in una campagna di attacco.
- Come parte di una procedura di crittografia univoca, Diavol ha utilizzato chiamate di procedura asincrona (APC) in modalità utente senza un algoritmo di crittografia simmetrica.
- Un altro aspetto del ransomware che si distingue è la sua dipendenza da una tecnica anti-analisi per offuscare il suo codice sotto forma di immagini bitmap.
Cosa si può dedurre da questo?
Nonostante gli sforzi delle forze dell’ordine per neutralizzare la rete del trojan, il malware in continua evoluzione si è dimostrato una minaccia resistente. La ripresa delle attività dannose indica che la banda di Wizard Spider intende massimizzare i suoi attacchi alle macchine. Inoltre, l’aggiunta di webinject in stile Zeus suggerisce che TrickBot sta rilanciando la sua operazione di frode bancaria, che sembra essere stata accantonata per oltre un anno.