ESET partecipa a un’operazione per l’eliminazione del botnet Trickbot, che dal 2016 ha infettato oltre un milione di dispositivi informatici. Con Microsoft, Lumen’s Black Lotus Labs Threat Research, NTT e altri, l’operazione ha fermato Trickbot grazie all’individuazione dei server di comando e controllo. ESET ha contribuito al risultato con le analisi statistiche e tecniche sui nomi di dominio e IP dei server Command & Control.
Il malware Trickbot è noto per il furto di credenziali da computer violati e più recentemente ne è stato osservato l’utilizzo come veicolo di consegna per attacchi più dannosi, di tipo ransomware.
ESET Research ha monitorato Trickbot fin dalla prima scoperta che risale alla fine del 2016. Nel solo 2020, la piattaforma di tracciamento botnet di ESET ha analizzato più di 125.000 codici dannosi e scaricato e decifrato più di 40.000 file di configurazione utilizzati dai diversi moduli Trickbot. Così da fornire un efficace punto di osservazione dei diversi server C&C utilizzati da questa botnet.
ESET individua Trickbot
Jean-Ian Boutin, Head of Threat Research di ESET
Nel corso degli anni abbiamo monitorato e segnalato costantemente le attività di Trickbot, che l’hanno resa una delle più grandi e longeve botnet esistenti. Trickbot è uno dei malware bancari più diffusi, e questo ceppo rappresenta una minaccia per gli utenti di internet a livello globale. Con il nostro monitoraggio delle campagne Trickbot abbiamo raccolto decine di migliaia di file diversi di configurazione. E questo ci ha permesso di individuare i siti web presi di mira dagli operatori di Trickbot. Gli URL coinvolti appartengono per la maggior parte a istituti bancari.
ESET individua Trickbot
Nel corso della sua esistenza questo malware è stato diffuso in diverse modalità. Recentemente, con maggiore frequenza è stata osservata una catena in cui Trickbot viene lasciato su sistemi già compromessi da Emotet, un’altra botnet.
In passato il malware Trickbot veniva utilizzato per lo più come trojan bancario, per sottrarre credenziali dai conti online con l’obiettivo di eseguire trasferimenti fraudolenti di denaro. Uno dei più vecchi plugin sviluppati per la piattaforma consente a Trickbot di utilizzare Web injects. Una tecnica che permette al malware di cambiare dinamicamente ciò che l’utente di un sistema violato visualizza visitando siti web specifici.