{"id":25818,"date":"2021-10-21T11:04:49","date_gmt":"2021-10-21T09:04:49","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25818"},"modified":"2021-10-21T11:04:49","modified_gmt":"2021-10-21T09:04:49","slug":"trickbot-new-tricks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/trickbot-new-tricks\/25818\/","title":{"rendered":"Nuovi trucchi del trojan Trickbot"},"content":{"rendered":"<p>Esattamente cinque anni fa, nell\u2019ottobre 2016, le nostre soluzioni hanno incontrato per la prima volta un Trojan chiamato Trickbot (alias TrickLoader o Trickster). Prima si trovava per lo pi\u00f9 sui computer di casa, il suo compito principale era quello di rubare le credenziali di accesso ai servizi bancari online. Negli ultimi anni, tuttavia, i suoi creatori hanno attivamente trasformato il trojan bancario in uno strumento modulare multifunzionale.<\/p>\n<p>Per di pi\u00f9, Trickbot \u00e8 ora popolare tra i gruppi di criminali informatici come veicolo di consegna per l\u2019inserimento di malware di terze parti nelle infrastrutture aziendali. Degli enti hanno recentemente <a href=\"https:\/\/threatpost.com\/trickbot-cybercrime-elite-affiliates\/175510\/\" target=\"_blank\" rel=\"noopener nofollow\">riferito<\/a> che gli autori di Trickbot si sono uniti a vari nuovi partner per far s\u00ec che il malware infettasse le infrastrutture aziendali con tutti i tipi di minacce aggiuntive, come il ransomware Conti.<\/p>\n<p>Tale riproposizione potrebbe rappresentare un ulteriore pericolo per i dipendenti dei centri operativi di sicurezza aziendale e altri esperti di cybersecurity. Alcune soluzioni di sicurezza riconoscono ancora Trickbot come Trojan bancario, come era in origine. Pertanto, i funzionari di infosec che lo rilevano potrebbero vederlo come una minaccia casuale per un utente domestico che accidentalmente \u00e8 entrato nella rete aziendale. In realt\u00e0, la sua presenza potrebbe indicare qualcosa di molto pi\u00f9 serio, un tentativo di inserimento del ransomware o addirittura parte di un\u2019operazione mirata di cyber-spionaggio.<\/p>\n<p>I nostri esperti sono stati in grado di scaricare i moduli del Trojan da uno dei server C&amp;C e analizzarli a fondo.<\/p>\n<h2>Cosa pu\u00f2 fare Trickbot adesso<\/h2>\n<p>L\u2019obiettivo principale del moderno Trickbot \u00e8 quello di penetrare e diffondersi nelle reti locali. I suoi operatori possono poi usarlo per varie funzioni, dal rivendere l\u2019accesso all\u2019infrastruttura aziendale a terzi attaccanti, al rubare dati sensibili. Ecco cosa pu\u00f2 fare ora il malware:<\/p>\n<ul>\n<li>Raccogliere nomi utente, hash di password e altre informazioni utili per il movimento laterale nella rete da Active Directory e dal registro;<\/li>\n<li>Intercettare il traffico web sul computer infetto;<\/li>\n<li>Fornire il controllo remoto dei dispositivi tramite il protocollo VNC;<\/li>\n<li>Rubare i cookie dai browser;<\/li>\n<li>Estrarre le credenziali di accesso dal registro, dai database di varie applicazioni e dai file di configurazione, cos\u00ec come rubare chiavi private, certificati SSL e file di dati per i wallet di criptovalute;<\/li>\n<li>Intercettare i dati di compilazione automatica dai browser e le informazioni che gli utenti inseriscono nei moduli sui siti web;<\/li>\n<li>Scansione di file su server FTP e SFTP;<\/li>\n<li>Incorporare script dannosi nelle pagine web;<\/li>\n<li>Reindirizzare il traffico del browser tramite un proxy locale;<\/li>\n<li>Hackerare le API responsabili della verifica della catena dei certificati in modo da falsificare i risultati della verifica;<\/li>\n<li>Raccogliere le credenziali del profilo di Outlook, intercettare le e-mail e inviare spam;<\/li>\n<li>Cercare il servizio OWA e realizzare un attacco di forza bruta;<\/li>\n<li>Ottenere un accesso di basso livello all\u2019hardware;<\/li>\n<li>Fornire accesso al computer a livello dell\u2019hardware;<\/li>\n<li>Scansionare i domini per le vulnerabilit\u00e0;<\/li>\n<li>Trovare indirizzi di server SQL ed eseguire query di ricerca su di essi;<\/li>\n<li>Diffondersi attraverso gli exploit EternalRomance e EternalBlue;<\/li>\n<li>Creare connessioni VPN.<\/li>\n<\/ul>\n<p>\u00c8 possibile leggere una descrizione dettagliata dei moduli e degli indicatori di compromissione nel nostro <a href=\"https:\/\/securelist.com\/trickbot-module-descriptions\/104603\/\" target=\"_blank\" rel=\"noopener\">post su Securelist<\/a>.<\/p>\n<h2>Come proteggersi dal trojan Trickbot<\/h2>\n<p>Le statistiche mostrano che la maggior parte dei rilevamenti di Trickbot quest\u2019anno sono stati registrati negli Stati Uniti, Australia, Cina, Messico e Francia. Questo non significa, tuttavia, che altre regioni siano al sicuro, soprattutto considerando la disponibilit\u00e0 dei suoi creatori a collaborare con altri criminali informatici.<\/p>\n<p>Per evitare che la vostra azienda cada vittima di questo Trojan, vi consigliamo di dotare tutti i dispositivi che si collegano a Internet di una <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluzione di sicurezza di alta qualit\u00e0<\/a>. Inoltre, potreste utilizzare <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/managed-detection-and-response?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">servizi di monitoraggio delle minacce informatiche<\/a> per rilevare attivit\u00e0 sospette nell\u2019infrastruttura dell\u2019azienda.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>Negli ultimi cinque anni, il trojan bancario Trickbot si \u00e8 evoluto in un tool multifunzione per i criminali informatici.<\/p>\n","protected":false},"author":2581,"featured_media":25819,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[1521,635,441,938],"class_list":{"0":"post-25818","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cyber-spionaggio","11":"tag-ransomware","12":"tag-trojan","13":"tag-trojan-bancario"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/trickbot-new-tricks\/25818\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/trickbot-new-tricks\/23505\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/trickbot-new-tricks\/18989\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/trickbot-new-tricks\/25590\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/trickbot-new-tricks\/23654\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/trickbot-new-tricks\/23134\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/trickbot-new-tricks\/26285\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/trickbot-new-tricks\/31757\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/trickbot-new-tricks\/10184\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/trickbot-new-tricks\/42622\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/trickbot-new-tricks\/17922\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/trickbot-new-tricks\/18323\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/trickbot-new-tricks\/15426\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/trickbot-new-tricks\/27612\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/trickbot-new-tricks\/31837\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/trickbot-new-tricks\/27745\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/trickbot-new-tricks\/24497\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/trickbot-new-tricks\/29857\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/trickbot-new-tricks\/29659\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/trojan\/","name":"trojan"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25818","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=25818"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25818\/revisions"}],"predecessor-version":[{"id":25821,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/25818\/revisions\/25821"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/25819"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=25818"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=25818"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=25818"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}