Logo Zephyrnet

Gli esperti hanno scoperto un nuovo modulo TrickBot (rdpScanDll) creato per operazioni di bruteforcing RDP

Data:


Una nuova variante del malware TrickBot è rivolta alle organizzazioni di telecomunicazioni negli Stati Uniti e a Hong Kong.

Gli esperti di sicurezza di Bitdefender hanno recentemente scoperto una nuova variante di TrickBot destinata alle organizzazioni di telecomunicazioni negli Stati Uniti e a Hong Kong.

TrickBot è un popolare trojan bancario in circolazione da ottobre 2016, i suoi autori lo hanno continuamente aggiornato implementando nuove funzionalità. Ad esempio, nel febbraio 2019 Trend Micro ha rilevato una variante che include un nuovo modulo utilizzato per l'acquisizione delle credenziali delle app remote.

Questa nuova variante include un modulo doppiato rdpScanDll lanciare attacchi di forza bruta con protocollo desktop remoto (RDP) contro un elenco di vittime.

“Il nuovo modulo è stato scoperto il 30 gennaio e la sua funzionalità principale è quella di eseguire bruteforce operazioni su un elenco di obiettivi. Il modus operandi è simile a quello di altri plugin. " legge il rapporto pubblicato da Bitdefender. “L'eseguibile TrickBot scaricherà il plugin e il suo file di configurazione (da uno dei C&C disponibili online) contenente un elenco di server con cui il plugin comunicherà per recuperare i comandi da eseguire. TrickBot caricherà il plugin, eseguendo le funzioni esportate "start" e "control", passando il file di configurazione come argomento per l'ultima funzione menzionata. "

Il modulo sembra essere in fase di sviluppo, ma gli esperti hanno sottolineato che gli attori delle minacce lo hanno già utilizzato per indirizzare le organizzazioni, principalmente nei settori delle telecomunicazioni, dell'istruzione e dei servizi finanziari.

Il modulo implementa tre modalità di attacco, denominate dai un'occhiata, provate ed bruto.

Le dai un'occhiata la modalità dovrebbe verificare Connessione RDP nell'elenco degli obiettivi, provate mode esegue un attacco di forza bruta sull'elenco degli IP target restituiti da /rdp/ domini comando e il bruto la modalità sembra essere rotta. Secondo i ricercatori, i problemi con la modalità bruta suggeriscono che è ancora in fase di sviluppo.

Trickbot ha una struttura modulare, potrebbe implementare nuove funzionalità caricando plugin specifici. Durante gli ultimi 6 mesi, i sistemi di Bitdefender sono stati in grado di recuperare gli aggiornamenti per diversi plug-in attivi.

Dopo l'infezione da TrickBot, il malware attende i comandi dal server di comando e controllo (C&C). Il Trojan potrebbe caricare plugin specificos per eseguire i comandi ricevuti dal C2.

I plug-in scaricati consentono al malware di eseguire movimenti laterali, ricognizione, raccolta di dati, imposizione, esfiltrare dati ed eseguire attacchi di forza bruta.

I ricercatori hanno recuperato 3,460 indirizzi IP associati a TrickBot, 2,926 erano correlati a server C&C, 556 sono stati utilizzati per fornire nuovi plugin e 22 utilizzati per entrambe le funzionalità. Gli esperti hanno notato che circa 100 nuovi IP sono stati aggiunti all'infrastruttura ogni mese, ogni IP è stato utilizzato in media 16 giorni.

L'analisi della distribuzione delle infezioni ha rivelato che la maggior parte delle vittime nell'ultimo mese erano negli Stati Uniti (quasi 30,000), con Spagna (10,000) e Canada (3,500) che hanno raccolto i primi tre.

Trickbot

"Il nuovo rdpScanDll Il modulo potrebbe essere l'ultimo di una lunga serie di moduli che sono stati utilizzati dal Trojan TrickBot, ma è uno che si distingue per il suo uso di un elenco altamente specifico di indirizzi IP. " conclude Bitdefender. “Mentre il modulo sembra essere in fase di sviluppo, poiché una modalità di attacco sembra rotta, le versioni più recenti di rdpScanDll probabilmente risolverà questo problema e potenzialmente ne aggiungerà di nuovi ”.

Pierluigi Paganini

(Affari di sicurezza - malware, Trickbot)




Fonte: https://securityaffairs.co/wordpress/100019/malware/trickbot-variant-rdp.html

spot_img

L'ultima intelligenza

spot_img