Il Trojan bancario TrickBot è una “riscrittura” di Dyre?

Nonostante siano stati arrestati, in Russia, i presunti autori e diffusori del malware Dyre, un nuovo software nocivo, comparso in-the-wild, ha evidenziato una notevole somiglianza con il famigerato banker, al punto che i ricercatori hanno ritenuto possa esistere, tra i due Trojan, una certa correlazione.

A giudicare da varie web injection individuate nel codice, pare proprio che il nuovo banker, denominato TrickBot, si interessi, per ora, solo ai clienti delle banche australiane. Un’approfondita analisi, condotta da Fidelis Cybersecurity, ha posto in risalto come il nuovo programma maligno sembri essere, a tutti gli effetti, una versione “riscritta” di Dyre. I ricercatori, tuttavia, non hanno mancato di sottolineare che, pur in presenza di alcuni aspetti decisamente somiglianti (ad esempio l’utilizzo, in entrambi i casi, di un loader), il codice di TrickBot presenta comunque significative differenze, che potrebbero mettere in dubbio l’esistenza di un’effettiva “parentela”.

I risultati dell’analisi svolta, contenuti nel report stilato in merito da Fidelis, e pubblicato alcuni giorni fa, evidenziano, in primo luogo, che TrickBot è scritto in C++, mentre Dyre è compilato in linguaggio C. Il nuovo arrivato, inoltre, utilizza Microsoft CryptoAPI, anziché le funzioni integrate AES o SHA256, come avviene in Dyre. TrickBot, infine, non esegue direttamente i comandi, ma interagisce con un apposito task manager.

“Sulla base di queste osservazioni, possiamo tranquillamente affermare che tra Dyre e TrickBot esiste un chiaro legame; nel secondo, tuttavia, sono stati applicati nuovi sforzi da parte degli sviluppatori, peraltro in misura considerevole, – scrivono i ricercatori. – Con minore convinzione, invece, siamo giunti alla conclusione che possa essere coinvolto, nella creazione di TrickBot, almeno uno degli sviluppatori del codice sorgente di Dyre”.

I membri della gang cybercriminale che, presumibilmente, si celava dietro al Trojan bancario Dyre, sono stati arrestati a Mosca nel mese di novembre dello scorso anno, dopo molteplici casi di furto delle password relative a conti bancari e ad altri account di particolare “pregio”, appartenenti alle vittime dell’infezione informatica. Questo temibile banker si diffondeva attraverso messaggi e-mail di spam, provvisti del consueto allegato nocivo, oppure di un apposito link destinato a condurre verso una risorsa web malevola.

I ricercatori che hanno analizzato il nuovo malware TrickBot hanno in primo luogo rivolto le loro attenzioni ad un cryptor “personalizzato”, previsto per il componente TrickLoader. È risultato, in pratica, che tale elemento era identico al cryptor utilizzato dagli autori dello spam bot denominato Cutwail; è interessante sottolineare, a tal proposito, che la botnet Pushdo/Cutwail, rete-zombie notevolmente estesa, a suo tempo partecipava in maniera particolarmente attiva alla distribuzione di Dyre.

Nel corso dell’analisi condotta riguardo a TrickBot è stata identificata tutta una serie di funzioni analoghe a varie funzioni rilevate nel Trojan Dyre. “Questo bot è ugualmente provvisto di una versione molto simile, anche se leggermente modificata, del decryptor del traffico C&C utilizzato in precedenza nell’ambito di Dyre, – riferiscono i ricercatori. – Tale sottoprogramma, in questo caso, viene impiegato per la codifica/decodifica di tutti i dati. L’algoritmo che Dyre utilizzava per generare la chiave AES ed il vettore di inizializzazione dai primi 48 byte di dati, in base ad uno specifico metodo di rehashing, è noto come funzione “derive_key”. Nel nuovo bot questa funzione risulta leggermente modificata”.

I primi sample di TrickBot analizzati da Fidelis apparivano orientati alla raccolta di informazioni inerenti al sistema sottoposto ad attacco; recentemente, tuttavia, è stato scoperto un nuovo bot, dotato di un modulo per l’iniezione di codice malevolo nelle pagine web visualizzate sul browser.

“Sebbene in questo bot manchi, di fatto, molto di ciò che era stato precedentemente osservato riguardo a Dyre, appare evidente come il codice utilizzato per il bot in questione, ed il codice di Dyre, siano correlati, – concludono i ricercatori. – Per il momento il bot, con ogni probabilità, si trova ancora in fase di sviluppo; i cybercriminali si stanno quindi affrettando a ristrutturare la botnet Cutwail, preparando la stessa alle future campagne di spam nocivo. Sarebbe di sicuro interessante vedere se TrickBot potrà in qualche modo raggiungere, se non superare, il suo predecessore”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *