Il malware Trickbot torna sulla scena del cyber crimine con una nuova variante che usa una versione aggiornata del modulo VNC (“vncDll”) contro obiettivi selezionati e di alto profilo. Tale modulo, che sembra essere ancora in fase di sviluppo (sono stati registrati frequenti aggiornamenti con nuove funzionalità e regolari correzioni) e rinominato come “tvncDll”, verrebbe impiegato per il monitoraggio e la raccolta di informazioni dei target designati.
La nuova variante di Trickbot è stata identificata dai ricercatori di sicurezza di Bitdefender che, in una loro analisi, si sono concentrati in particolar modo sull’identificazione del protocollo di comunicazione e dell’infrastruttura in correlazione alle nuove funzionalità del modulo riscontrate.
Indice degli argomenti
Trickbot: le parti principali del protocollo di comunicazione
Il nuovo modulo VNC di Trickbot utilizza un protocollo di comunicazione personalizzato. In particolare, viene instaurata una connessione con dei server C2 definiti in un file di configurazione denominato “vncconf” che viene inviato al modulo e che include una lista di ben nove indirizzi IP.
Secondo i ricercatori, il compito di tali server sarebbe quello di agire come mediatori tra le vittime e gli attaccanti.
Il protocollo di comunicazione risulta, pertanto, costituito da due parti principali secondo dei precisi paradigmi descritti in dettaglio sul rapporto:
- Setup: il ruolo di questa parte è quello di annunciare la presenza del server C2 e di ricevere una serie di comandi in attesa che un attaccante (Trickbot client) si connetta ad uno dei server e chieda di essere messo in contatto con una delle vittime;
- modalità di funzionamento normale: in questa modalità, i messaggi client/server vengono scambiati in una comunicazione full duplex: da un lato la vittima invia screenshot e dati degli appunti, dall’altro il server invia messaggi che vengono decodificati ed elaborati.
Trickbot usa un “desktop alternativo” per spiare le vittime
In particolare, durante la modalità di funzionamento normale viene creato un “desktop alternativo” completamente controllato dal modulo, costituito da icone e una barra delle applicazioni con menu e funzionalità personalizzate, che consentono di aprire programmi dalla macchina target.
Inoltre, gli attaccanti attraverso il comando Windows “cmd.exe” possono eseguire anche altre azioni sfruttando le potenzialità di PowerShell, come scaricare nuovi payload per propagare ulteriormente l’attacco lateralmente, aprire documenti e la posta elettronica, caricare dati dai computer delle vittime ai server di C2.
Trickbot, la nuova infrastruttura di rete C2
Secondo quanto riportato nel documento di ricerca pubblicato da Bitdefender, l’infrastruttura di rete avrebbe la seguente architettura:
Dallo schema appare chiaro come gli operatori di Trickbot riescano a connettere i computer delle vittime ai loro client attraverso i server C2 e ad interagire con essi attraverso un’applicazione software (“viewer tool”) dedicata.
È stato osservato che tutti i server C2 pubblici (e trovati nel file di configurazione “vncconf”) altro non sono che dei server proxy (alcuni di backup) che dirottano i dati verso un cosiddetto “Backed Server” presidiato direttamente dagli attori criminali.
Conclusioni
Oltre ai moduli aggiornati, Bitdefender ha notato anche un aumento significativo dei centri di comando e controllo distribuiti in tutto il mondo nell’ultimo semestre.
Poiché alcune delle bande di ransomware (Ryuk, Conti e REvil) è noto che utilizzino l’infrastruttura di Trickbot come testa di ponte per l’accesso alle reti delle loro vittime, risulta quanto mai fondamentale non abbassare la guardia.
