Il famigerato gruppo di attacchi informatici di TrickBot ha sviluppato una nuova backdoor per monitorare i preziosi sistemi delle vittime post-exploit.
Soprannominato PowerTrick, l'obiettivo finale dello strumento di post-sfruttamento è "bypassare le restrizioni e i controlli di sicurezza per adattarsi alla nuova era dei controlli di sicurezza e sfruttare le reti più protette e sicure di alto valore".
I criminali informatici di TrickBot sono specializzati nel furto di credenziali bancarie in tutto il mondo, spesso da società aziendali. I trojan collegati al gruppo sono in costante stato di evoluzione, con nuovi moduli e strumenti in sviluppo per stare un passo avanti rispetto ai team IT e condurre sia l'esfiltrazione dei dati che la persistenza.
Nella seconda metà dello scorso anno, i ricercatori hanno avvertito che accanto a potenti Trojan, backdoor e tecniche di iniezione web, gli sviluppatori hanno ampliato il loro arsenale con strumenti progettati per attacchi di scambio SIM. Il malware TrickBot è stato anche collegato al furto basato su criptovaluta.
Il nuovo strumento è probabilmente lanciato tramite Windows PowerShell, affermano i ricercatori. Un modulo TrickBot riproposto chiamato "NewBCtest" è stato ottimizzato per accettare i comandi per l'esecuzione, inclusa la creazione di una backdoor più grande lungo la catena di attacco.
SentinelLabs afferma che il metodo impiegato è simile al PowerShell Empire open source, ma per rimanere nascosto, TrickBot ha scelto di progettare PowerTrick per "essere flessibile" e consentire l'aumento "al volo".
Le scansioni vengono eseguite per profilare il sistema infetto e le informazioni vengono restituite insieme a un ID utente univoco, inviato tramite la backdoor a un server di comando e controllo (C2) gestito dagli aggressori.
PowerTrick utilizzerà inoltre il framework di sfruttamento Metasploit e varie utility PowerShell per eseguire il pivot su unità e sistemi in rete, distribuire malware aggiuntivo ed eseguire attività di pulizia e detonazione.
"Rimuovono tutti i file esistenti che non sono stati eseguiti correttamente e si spostano su un diverso target di scelta o eseguono movimenti laterali all'interno dell'ambiente verso sistemi di alto valore come i gateway finanziari", afferma il team.
È questo movimento laterale che dovrebbe interessare le imprese. Come abbiamo visto con il recente incidente di Travelex, il malware in grado di diffondere e crittografare o rubare i dati in un ambiente di rete, può rivelarsi disastroso.
Recentemente TrickBot è stato anche collegato a "Anchor", un set di strumenti che sembra fornire un collegamento tra gli operatori e i gruppi di hacking della Corea del Nord.
-------------------------
L'originale di questo articolo è stato pubblicato su zdnet.com
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
