I ricercatori di sicurezza informatica di VMare hanno osservato nel mese di maggio un aumento dell’attività del malware TrueBot.
La catena d’infezione documentata
“TrueBot è una botnet trojan downloader che utilizza server di comando e controllo per raccogliere informazioni sui sistemi compromessi e utilizza quel sistema compromesso come trampolino di lancio per ulteriori attacchi, come di recente visto con Clop Ransomware“, ha affermato Fae Carlisle di VMware.
La catena d’infezione documentata da VMware, ha inizio con un drive-by-download (da Google Chrome) di un eseguibile “update.exe”. Gli utenti sarebbero indotti così a scaricare il malware con il pretesto di un aggiornamento software.
Dopo l’esecuzione, update.exe stabilisce una connessione con un indirizzo IP TrueBot (94.142.138[.]61 localizzato in Russia) per recuperare un eseguibile di seconda fase (“3ujwy2rz7v.exe”) e successivamente avviato tramite il prompt dei comandi di Windows (cmd). Infine quest’ultimo eseguibile si connette a un dominio C2 (“dremmfyttrred[.]com”) per esfiltrare le informazioni sensibili dall’host, eseguendo anche l’enumerazione di sistemi e processi.
Conclusioni
Scoperto almeno dal 2017, TrueBot sarebbe in fase di sviluppo attivo da parte dell’attore Silence Group con versioni recenti che hanno sfruttato anche la vulnerabilità Netwrix o il worm Raspberry Robin come vettori d’infezione, prendendo di mira banche, istituzioni finanziarie e il settore dell’istruzione.
Si ritiene inoltre che Silence abbia legami con il noto gruppo russo Evil Corp per similitudini riscontrate nei dowloader impiegati da entrambi gli attori.
“TrueBot può essere un’infezione particolarmente minacciosa per qualsiasi rete“, conclude l’esperto. “Quando un’organizzazione viene infettata da questo malware, può rapidamente trasformarsi in un’infezione più grande, simile al ransomware che si diffonde in una rete“.
Al momento della stesura dell’articolo, il campione analizzato ha un basso tasso di rilevamento su “virustotal.com” (fe746402c74ac329231ae1b5dffa8229b509f4c15a0f5085617f14f0c1579040).