ESET ha eliminato una botnet che ha infettato oltre un milione di PC

La botnet Trickbot ruba le credenziali e recentemente ha diffuso un ransomware. ESET Research ha contribuito al successo delle operazioni con l’analisi tecnica

 

ESET ha comunicato che i suoi ricercatori hanno partecipato a un’operazione per contrastare la botnet Trickbot, che dal 2016 ha infettato oltre un milione di dispositivi informatici.

Il malware Trickbot è noto per il furto di credenziali da computer violati e più recentemente ne è stato osservato l’utilizzo come veicolo di consegna per attacchi più dannosi, di tipo ransomware.

In collaborazione con Microsoft, Lumen’s Black Lotus Labs Threat Research, NTT e altri vendor, l’operazione ha fermato Trickbot grazie all’individuazione dei server di comando e controllo.

Nell’operazione di contrasto ha contribuito al risultato con le analisi statistiche e tecniche sui nomi di dominio e IP dei server Command & Control.

ESET Research ha monitorato Trickbot fin dalla sua apparizione che risale alla fine del 2016. Nel solo 2020, la piattaforma di tracciamento botnet di ESET ha analizzato più di 125.000 codici dannosi e scaricato e decifrato più di 40.000 file di configurazione utilizzati dai diversi moduli Trickbot, fornendo un’efficace punto di osservazione dei diversi server C&C utilizzati da questa botnet.

Nel corso degli anni abbiamo monitorato e segnalato costantemente le attività di Trickbot, che l’hanno resa una delle più grandi e longeve botnet esistenti. Trickbot è uno dei malware bancari più diffusi, e questo ceppo rappresenta una minaccia per gli utenti di internet a livello globale”, ha evidenziato Jean-Ian Boutin, Head of Threat Research di ESET.

Nel corso della sua esistenza questo malware è stato diffuso in diverse modalità. Recentemente, con maggiore frequenza è stata osservata una catena in cui Trickbot viene lasciato su sistemi già compromessi da Emotet, un’altra botnet. In passato il malware veniva utilizzato per lo più come trojan bancario, per sottrarre credenziali dai conti online con l’obiettivo di eseguire trasferimenti fraudolenti di denaro.

Uno dei più vecchi plugin sviluppati per la piattaforma consente ad esempio a Trickbot di utilizzare Web injects, una tecnica che permette al malware di cambiare dinamicamente ciò che l’utente di un sistema violato visualizza visitando siti web specifici.

“Con il nostro monitoraggio delle campagne Trickbot abbiamo raccolto decine di migliaia di file diversi di configurazione, e questo ci ha permesso di individuare i siti web presi di mira dagli operatori di Trickbot. Gli URL coinvolti appartengono per la maggior parte a istituti bancari”, ha spiegato Boutin.