Trickbot è un malware modulare che è stato osservato per la prima volta nel 2016. Ruba informazioni di sistema, informazioni di accesso e altri dati sensibili da computer Windows vulnerabili. Tuttavia, a novembre, i ricercatori di sicurezza di Palo Alto Networks hanno iniziato a notare che il modulo di immissione della password di Trickbots aveva iniziato a prendere di mira i dati dalle applicazioni OpenSSH e OpenVPN. Quando un host Windows viene infettato da Trickbot, scarica diversi moduli per eseguire varie funzioni. I moduli stessi vengono archiviati come file binari crittografati in una cartella situata nella directory AppData Roaming del sistema infetto e vengono quindi decrittografati come file DLL che vengono eseguiti dalla memoria di sistema. Pwgrab64 è un dispositivo di recupero password utilizzato da Trickbot. Questo modulo recupera le credenziali di accesso memorizzate nella cache del browser della vittima, ma può anche ottenere informazioni di accesso da altre applicazioni installate sull'host della vittima.
Scegli come target OpenSSH e OpenVPN
I modelli di traffico relativi alle recenti infezioni da Trickbot sono stati relativamente coerenti fino a novembre, quando Palo Alto Networks ha iniziato a vedere due nuove richieste HTTP POST per chiavi private OpenSSH e password e impostazioni OpenVPN causate dal malware cracker di password. Fortunatamente, questi aggiornamenti al modulo di immissione della password di Trickbot potrebbero non essere completamente funzionanti, poiché i ricercatori non hanno visto alcun dato OpenVPN effettivo contenuto nel traffico del malware. Hanno anche creato infezioni Trickbot in ambienti di laboratorio in cui le richieste HTTP POST generate da Password Recoverer per OpenSSH e OpenVPN non contenevano dati. Tuttavia, il dispositivo di immissione della password di Trickbot funziona effettivamente e otterrà comunque le password SSH e le chiavi private da un client SSH/Telnet chiamato putty. I modelli di traffico aggiornati scoperti da Palo Alto Networks mostrano che Trickbot continua ad evolversi, ma gli utenti possono evitare di cadere vittime di questo malware eseguendo versioni completamente aggiornate e corrette di Microsoft Windows.- Controlla anche il nostro elenco completo dei migliori servizi VPN