News

Il Trojan bancario TrickBot è una “riscrittura” di Dyre?

Nonostante siano stati arrestati, in Russia, i presunti autori e diffusori del malware Dyre, un nuovo software nocivo, comparso in-the-wild, ha evidenziato una notevole somiglianza con il famigerato banker, al punto che i ricercatori hanno ritenuto possa esistere, tra i due Trojan, una certa correlazione.

A giudicare da varie web injection individuate nel codice, pare proprio che il nuovo banker, denominato TrickBot, si interessi, per ora, solo ai clienti delle banche australiane. Un’approfondita analisi, condotta da Fidelis Cybersecurity, ha posto in risalto come il nuovo programma maligno sembri essere, a tutti gli effetti, una versione “riscritta” di Dyre. I ricercatori, tuttavia, non hanno mancato di sottolineare che, pur in presenza di alcuni aspetti decisamente somiglianti (ad esempio l’utilizzo, in entrambi i casi, di un loader), il codice di TrickBot presenta comunque significative differenze, che potrebbero mettere in dubbio l’esistenza di un’effettiva “parentela”.

I risultati dell’analisi svolta, contenuti nel report stilato in merito da Fidelis, e pubblicato alcuni giorni fa, evidenziano, in primo luogo, che TrickBot è scritto in C++, mentre Dyre è compilato in linguaggio C. Il nuovo arrivato, inoltre, utilizza Microsoft CryptoAPI, anziché le funzioni integrate AES o SHA256, come avviene in Dyre. TrickBot, infine, non esegue direttamente i comandi, ma interagisce con un apposito task manager.

“Sulla base di queste osservazioni, possiamo tranquillamente affermare che tra Dyre e TrickBot esiste un chiaro legame; nel secondo, tuttavia, sono stati applicati nuovi sforzi da parte degli sviluppatori, peraltro in misura considerevole, – scrivono i ricercatori. – Con minore convinzione, invece, siamo giunti alla conclusione che possa essere coinvolto, nella creazione di TrickBot, almeno uno degli sviluppatori del codice sorgente di Dyre”.

I membri della gang cybercriminale che, presumibilmente, si celava dietro al Trojan bancario Dyre, sono stati arrestati a Mosca nel mese di novembre dello scorso anno, dopo molteplici casi di furto delle password relative a conti bancari e ad altri account di particolare “pregio”, appartenenti alle vittime dell’infezione informatica. Questo temibile banker si diffondeva attraverso messaggi e-mail di spam, provvisti del consueto allegato nocivo, oppure di un apposito link destinato a condurre verso una risorsa web malevola.

I ricercatori che hanno analizzato il nuovo malware TrickBot hanno in primo luogo rivolto le loro attenzioni ad un cryptor “personalizzato”, previsto per il componente TrickLoader. È risultato, in pratica, che tale elemento era identico al cryptor utilizzato dagli autori dello spam bot denominato Cutwail; è interessante sottolineare, a tal proposito, che la botnet Pushdo/Cutwail, rete-zombie notevolmente estesa, a suo tempo partecipava in maniera particolarmente attiva alla distribuzione di Dyre.

Nel corso dell’analisi condotta riguardo a TrickBot è stata identificata tutta una serie di funzioni analoghe a varie funzioni rilevate nel Trojan Dyre. “Questo bot è ugualmente provvisto di una versione molto simile, anche se leggermente modificata, del decryptor del traffico C&C utilizzato in precedenza nell’ambito di Dyre, – riferiscono i ricercatori. – Tale sottoprogramma, in questo caso, viene impiegato per la codifica/decodifica di tutti i dati. L’algoritmo che Dyre utilizzava per generare la chiave AES ed il vettore di inizializzazione dai primi 48 byte di dati, in base ad uno specifico metodo di rehashing, è noto come funzione “derive_key”. Nel nuovo bot questa funzione risulta leggermente modificata”.

I primi sample di TrickBot analizzati da Fidelis apparivano orientati alla raccolta di informazioni inerenti al sistema sottoposto ad attacco; recentemente, tuttavia, è stato scoperto un nuovo bot, dotato di un modulo per l’iniezione di codice malevolo nelle pagine web visualizzate sul browser.

“Sebbene in questo bot manchi, di fatto, molto di ciò che era stato precedentemente osservato riguardo a Dyre, appare evidente come il codice utilizzato per il bot in questione, ed il codice di Dyre, siano correlati, – concludono i ricercatori. – Per il momento il bot, con ogni probabilità, si trova ancora in fase di sviluppo; i cybercriminali si stanno quindi affrettando a ristrutturare la botnet Cutwail, preparando la stessa alle future campagne di spam nocivo. Sarebbe di sicuro interessante vedere se TrickBot potrà in qualche modo raggiungere, se non superare, il suo predecessore”.

Fonte: Threatpost

Il Trojan bancario TrickBot è una “riscrittura” di Dyre?

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox