E’ stata identificata una campagna malspam in italiano avente come obiettivo quello di rilasciare il malware TrickBot tramite allegato Excel. Il malware risulta appartenere alla botnet sat1.

Il malware TrickBot

TrickBot è un malware di tipo banking-trojan, sviluppato con l’obiettivo di ottenere le credenziali di accesso ai siti bancari delle vittime attraverso l’uso di webinject.

Da Giugno 2018 TrickBot è stato potenziato con nuove funzionalità che permettono di effettuare movimenti laterali per propagarsi da un client infetto ad un domain controller vulnerabile.

In alcune occasioni, il malware Trickbot è stato utilizzato come vettore per l’avvio di attacchi di tipo Ransomware.

Catena di Compromissione

La compromissione avviene attraverso l’esecuzione di un Excel contenente una macro malevola. Il file risulta apparentemente firmato con software DocuSign e richiede alla vittima l’abilitazione delle macro per decifrare il documento:

Il foglio Excel contenente la macro malevola

Il file Excel è in realtà un dropper, il cui compito è quello di scaricare ed eseguire il malware TrickBot sotto forma di DLL tramite regsvr32, per poi ottenere l’indirizzo IP pubblico della macchina infetta tramite il servizio di lookup legittimo ident.me e procedere al furto di credenziali, come ad esempio quelle presenti nei browser installati.

Indicatori di Compromissione

TrickBot

  • Md5: fefcd3be7442dab1e25ed12903406a40
  • Sha1: ec6d52468af5b590a1a2a9d041b894d9a144c99c
  • Sha256: 930c7ac2d2e3dcd05a616c9bcd078c6c153e78c3506cef585b61442b1ab3b9ef

IP Server C2

  • 185.180.99.125
  • 180.178.106.50
  • 95.217.228.176
  • 27.110.228.186
  • 123.231.149.122
  • 115.127.160.171
  • 181.196.16.58
  • 45.5.152.39

Related articles