saverioriotto.it

Gli hacker di TrickBot creano nuove backdoor furtive per obiettivi di alto valore

PowerTrick è riservato agli obiettivi più redditizi nella lista dei colpi della banda.

Gli hacker di TrickBot creano nuove backdoor furtive per obiettivi di alto valore

Il famigerato gruppo di attacchi informatici di TrickBot ha sviluppato una nuova backdoor per monitorare i preziosi sistemi delle vittime post-exploit.

Soprannominato PowerTrick, l'obiettivo finale dello strumento di post-sfruttamento è "bypassare le restrizioni e i controlli di sicurezza per adattarsi alla nuova era dei controlli di sicurezza e sfruttare le reti più protette e sicure di alto valore".

I criminali informatici di TrickBot sono specializzati nel furto di credenziali bancarie in tutto il mondo, spesso da società aziendali. I trojan collegati al gruppo sono in costante stato di evoluzione, con nuovi moduli e strumenti in sviluppo per stare un passo avanti rispetto ai team IT e condurre sia l'esfiltrazione dei dati che la persistenza.

Nella seconda metà dello scorso anno, i ricercatori hanno avvertito che accanto a potenti Trojan, backdoor e tecniche di iniezione web, gli sviluppatori hanno ampliato il loro arsenale con strumenti progettati per attacchi di scambio SIM. Il malware TrickBot è stato anche collegato al furto basato su criptovaluta.

Il nuovo strumento è probabilmente lanciato tramite Windows PowerShell, affermano i ricercatori. Un modulo TrickBot riproposto chiamato "NewBCtest" è stato ottimizzato per accettare i comandi per l'esecuzione, inclusa la creazione di una backdoor più grande lungo la catena di attacco.

SentinelLabs afferma che il metodo impiegato è simile al PowerShell Empire open source, ma per rimanere nascosto, TrickBot ha scelto di progettare PowerTrick per "essere flessibile" e consentire l'aumento "al volo".
Le scansioni vengono eseguite per profilare il sistema infetto e le informazioni vengono restituite insieme a un ID utente univoco, inviato tramite la backdoor a un server di comando e controllo (C2) gestito dagli aggressori.

PowerTrick utilizzerà inoltre il framework di sfruttamento Metasploit e varie utility PowerShell per eseguire il pivot su unità e sistemi in rete, distribuire malware aggiuntivo ed eseguire attività di pulizia e detonazione.

"Rimuovono tutti i file esistenti che non sono stati eseguiti correttamente e si spostano su un diverso target di scelta o eseguono movimenti laterali all'interno dell'ambiente verso sistemi di alto valore come i gateway finanziari", afferma il team.

È questo movimento laterale che dovrebbe interessare le imprese. Come abbiamo visto con il recente incidente di Travelex, il malware in grado di diffondere e crittografare o rubare i dati in un ambiente di rete, può rivelarsi disastroso.

Recentemente TrickBot è stato anche collegato a "Anchor", un set di strumenti che sembra fornire un collegamento tra gli operatori e i gruppi di hacking della Corea del Nord.


-------------------------
L'originale di questo articolo è stato pubblicato su zdnet.com




Commenti
* Obbligatorio