Campagna di phishing diffonde il malware Trickbot

Una nuova campagna di phishing mirato sta diffondendo il malware Trickbot. È consigliata l'installazione di tutte le patch disponibili per il sistema operativo.

Autore: Redazione SecurityOpenLab

Campagne mirate di spear phishing stanno distribuendo il malware Trickbot. L'allerta è dell'FBI e della Cybersecurity and Infrastructure Security Agency (CISA), perché al momento le campagne risultano attive in Nord America. Accade sovente che queste azioni criminali si diffondano in tutto il mondo, quindi è bene tenere alta l'attenzione.

Anche perché Trickbot è un cliente molto scomodo. Inizialmente impiegato come banking trojan, ormai Trickbot è uno degli strumenti più potenti disponibili sulla piazza. La sua natura altamente modulare e i continui aggiornamenti gli permettono di essere usato per ottenere l'accesso remoto alle macchine infette e quindi diffondere malware e ransomware di vario tipo.

Nel caso specifico della campagna attualmente in atto, le potenziali vittime ricevono una email con un collegamento ipertestuale che reindirizza gli utenti a un sito Web ospitato su un server compromesso. Le vittime sono invitate a cliccare su una fotografia per visionare la prova di una violazione del traffico. Chi abbocca scarica inconsapevolmente un file JavaScript che, non appena viene aperto, si connette a un server di comando e controllo e scarica a sua volta Trickbot.

Backdoor e ransomware


FBI e CISA ammoniscono circa il fatto che Trickbot crea una backdoor sui computer Windows infetti finalizzata al furto di dati sensibili. È da ricordare che alcune versioni di Trickbot permettono di espandere l'azione sull'intera rete, non solo sul client inizialmente compromesso.

Il rischio maggiore è che i cyber criminali possano utilizzare TrickBot per distribuire ransomware come Ryuk e Conti, o servire come downloader per il malware Emotet. Inoltre, Trickbot può anche essere utilizzato per sfruttare le macchine infette per il cryptomining.Emotet sembra essere stato quasi del tutto smantellato da un'azione congiunta di Europol e Eurojust, mentre Trickbot sembra resistere a ogni tentativo di assedio. A ottobre 2020 un'azione coordinata da Microsoft contro l'infrastruttura chiave di Trickbot sembrava destinata a mettere fine alle sue azioni. In realtà il malware si è ripresentato più resiliente e difficile da estirpare che mai.

A titolo preventivo, gli esperti consigliano di installare con la massima priorità le patch del sistema operativo. Per esempio, i cyber criminali hanno spesso abusato del protocollo SMB più volte oggetto di patching. La formazione ai dipendenti è poi importante per bloccare sul nascere le minacce che vengono recapitate via email.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.