E’ stata identificata una campagna malspam in italiano avente come obiettivo quello di rilasciare il malware TrickBot tramite allegato Excel. Il malware risulta appartenere alla botnet sat1.
Il malware TrickBot
TrickBot è un malware di tipo banking-trojan, sviluppato con l’obiettivo di ottenere le credenziali di accesso ai siti bancari delle vittime attraverso l’uso di webinject.
Da Giugno 2018 TrickBot è stato potenziato con nuove funzionalità che permettono di effettuare movimenti laterali per propagarsi da un client infetto ad un domain controller vulnerabile.
In alcune occasioni, il malware Trickbot è stato utilizzato come vettore per l’avvio di attacchi di tipo Ransomware.
Catena di Compromissione
La compromissione avviene attraverso l’esecuzione di un Excel contenente una macro malevola. Il file risulta apparentemente firmato con software DocuSign e richiede alla vittima l’abilitazione delle macro per decifrare il documento:
Il file Excel è in realtà un dropper, il cui compito è quello di scaricare ed eseguire il malware TrickBot sotto forma di DLL tramite regsvr32, per poi ottenere l’indirizzo IP pubblico della macchina infetta tramite il servizio di lookup legittimo ident.me e procedere al furto di credenziali, come ad esempio quelle presenti nei browser installati.
Indicatori di Compromissione
TrickBot
- Md5: fefcd3be7442dab1e25ed12903406a40
- Sha1: ec6d52468af5b590a1a2a9d041b894d9a144c99c
- Sha256: 930c7ac2d2e3dcd05a616c9bcd078c6c153e78c3506cef585b61442b1ab3b9ef
IP Server C2
- 185.180.99.125
- 180.178.106.50
- 95.217.228.176
- 27.110.228.186
- 123.231.149.122
- 115.127.160.171
- 181.196.16.58
- 45.5.152.39
