TrueBot, allarme per una nuova pericolosa attività rilevata

I ricercatori di sicurezza informatica di VMare hanno osservato nel mese di maggio un aumento dell’attività del malware TrueBot.

La catena d’infezione documentata

TrueBot è una botnet trojan downloader che utilizza server di comando e controllo per raccogliere informazioni sui sistemi compromessi e utilizza quel sistema compromesso come trampolino di lancio per ulteriori attacchi, come di recente visto con Clop Ransomware“, ha affermato Fae Carlisle di VMware.

La catena d’infezione documentata da VMware, ha inizio con un drive-by-download (da Google Chrome) di un eseguibile “update.exe”. Gli utenti sarebbero indotti così a scaricare il malware con il pretesto di un aggiornamento software.

Catena d’infezione (Fonte VMare)

Dopo l’esecuzione, update.exe stabilisce una connessione con un indirizzo IP TrueBot (94.142.138[.]61 localizzato in Russia) per recuperare un eseguibile di seconda fase (“3ujwy2rz7v.exe”) e successivamente avviato tramite il prompt dei comandi di Windows (cmd). Infine quest’ultimo eseguibile si connette a un dominio C2 (“dremmfyttrred[.]com”) per esfiltrare le informazioni sensibili dall’host, eseguendo anche l’enumerazione di sistemi e processi.

Localizzazione indirizzo IP TrueBot

Conclusioni

Scoperto almeno dal 2017, TrueBot sarebbe in fase di sviluppo attivo da parte dell’attore Silence Group con versioni recenti che hanno sfruttato anche la vulnerabilità Netwrix o il worm Raspberry Robin come vettori d’infezione, prendendo di mira banche, istituzioni finanziarie e il settore dell’istruzione.

Si ritiene inoltre che Silence abbia legami con il noto gruppo russo Evil Corp per similitudini riscontrate nei dowloader impiegati da entrambi gli attori.

TrueBot può essere un’infezione particolarmente minacciosa per qualsiasi rete“, conclude l’esperto. “Quando un’organizzazione viene infettata da questo malware, può rapidamente trasformarsi in un’infezione più grande, simile al ransomware che si diffonde in una rete“.

Al momento della stesura dell’articolo, il campione analizzato ha un basso tasso di rilevamento su “virustotal.com” (fe746402c74ac329231ae1b5dffa8229b509f4c15a0f5085617f14f0c1579040).

Tasso di rilevamento del campione malware su virustotal.com
Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.