In questo post riassumiamo i passaggi principali di uno studio pubblicato su Littlefield.co che ha analizzato in dettaglio un virus evoluto e non identificato dagli antivirus. L’utilizzo di Trickbot, Emotet e Ryuk Ransomware rende questo tipo di attacco invisibile e pericoloso. E’ stata trovata una nuova variante di Trickbot che non è stata raccolta da diversi fornitori commerciali di antivirus. Nell’attacco, abbiamo osservato fasi di preparazione, utilizzando Emotet come dropper con follow-up di consegna di malware di Trickbot e Ryuk ransomware.
Una particolarità riscontrata è stata la rimozione di Windows Defender, che non è l’unica modifica del registro che è stata osservata in questa attività. Sono state apportate ulteriori modifiche, utilizzate per ottenere privilegi elevati.
La modularità di Trickbot, in base alla progettazione, consente di vedere spesso nuove varianti. Durante le nostre indagini sul malware, siamo stati in grado di determinare che si trattava di una nuova variante di Trickbot, che include diversi moduli aggiuntivi utilizzati per raccogliere ed estrarre password da applicazioni come Outlook e Filezilla, oltre alle credenziali di accesso al dispositivo.
Dalla decompilazione dei file eseguibili e DLL, si è visto che i moduli stessi utilizzano un metodo di iniezione DLL. Questo impiega una programmazione avanzata, caricando una libreria dalla memoria nei processi host. Questo è un metodo avanzato per consentire l’evasione di soluzioni antivirus, il che ci porta a credere che l’attore coinvolto in questo attacco sia di notevole capacità.
Nel decompilare il modulo pwgrab64, sono state notate diverse funzioni utilizzate per estrarre le credenziali da Microsoft Outlook, Explorer, Google Chrome, Firefox e FileZilla.
Come si vede, queste versioni avanzate di ransomware sono in grado di: 1) scalare le credenziali utente, 2) effettuare evasione delle classiche difese antivirus, 3) rimanere in modalità invisibile per tutto il tempo necessario, 4) rimuovere Windows Defender.
L’unico approccio in grado di individuare questo genere di attacchi è lo ZERO TRUST che previene l’attacco individuando le tecniche di evasione delle difese (Deceptive Bytes) ed impedendo l’escalation dei privilegi (soluzioni PAM).
Leggi l’articolo originale qui: https://littlefield.co/threes-a-crowd-new-trickbot-emotet-ryuk-ransomware-16d1e25f72f4