Campagna di malspam per veicolare Trickbot

03/09/2019

google malware phishing trickbot

 

I ricercatori Cofense hanno individuato in questi giorni una nuova ondata di malspam progettata per diffondere il malware TrickBot mediante mail di phishing contenenti un collegamento ad un documento Google Docs.

Trickbot è un malware appartenente alla famiglia dei trojan horse che ha fatto la sua prima comparsa nel 2016, da allora è stato costantemente aggiornato con lo scopo di compromettere il maggior numero possibile di sistemi a cui sottrarre dati personali e credenziali bancarie.

L’attacco segue quasi sempre la stessa metodologia: le potenziali vittime ricevono un’e-mail che li reindirizza a un collegamento di Google Docs che li informa della disponibilità di un file PDF contenente informazioni importanti. Tuttavia, quando gli utenti accedono a questo specifico collegamento, la pagina creata in Google Documenti mostrerà un falso messaggio di errore indicando che non è stato possibile trovare il file e si consiglia di scaricarlo manualmente sul proprio PC per poter accedere ai contenuti. È a questo punto che malware viene scaricato.

 

Il download consiste in un file denominato Review_Rep.19.PDF.exe camuffato da file PDF. Solitamente i destinatari non vedranno l’estensione .exe, poichè viene nascosta di default dal sistema operativo Windows, ma verranno ingannati dall’icona di Acrobat Reader applicata al malware. Una volta eseguito il payload, il malware crea una copia in C:\ProgramData e un’altra copia in C:\Users\REM\AppData\Roaming\speedLan dove risiede il file di configurazione Trickbot denominato settings.ini contenente informazioni testuali opportunamente offuscati.

Conclusioni

Nonostante nell’ultima settimana l’impatto di trickbot in Italia è stato decisamente basso, il Cert-PA consiglia comunque di prestare massima attenzione nell’aprire i messaggi di posta di cui non si conosce la provenienza.

Indicatori di compromissione

Ad integrazione di quanto rilevato dai ricercatori Cofense, si riportano di seguito gli indicatori di Trickbot relativi agli ultimi 7.

  • IoC (.txt) – IP, Hash
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr