Vecchie conoscenze tornano a insidiare i computer di tutto il mondo. Trickbot, un malware finanziario scoperto l'anno scorso, è ancora in circolazione e ha saputo rinnovarsi con una versione ancora più efficace, come denunciato dai ricercatori dei FortiGuard Labs di Fortinet. Il “trabocchetto” (come da traduzione letterale) è un programma malevolo capace di prendere controllo di un Pc creando una rete virtuale nascosta, con una tecnica chiamata appunto hidden virtual network e resa possibile dalla funzionalità di Windows con cui si crea una seconda istanza di desktop.

Con questo metodo, sfruttato da diversi malware finanziari, si riesce a ottenere i privilegi utente e a eseguire operazioni da remoto senza farsi notare. Nella fattispecie, il meccanismo ha consentito a Trickbot di intercettare la “impronta digitale” del browser delle vittime, ovvero il sistema di riconoscimento con cui i siti di banche e servizi finanziari riescono a verificare l'identità dell'utente tramite geologalizzazione dell'indirizzo IP, impostazioni del programma di navigazione Web e altro ancora. In sostanza, è il sistema con cui questi siti riconoscono come “trusted device” il dispositivo da cui si esegue una procedura di accesso con credenziali.

Nei mesi scorsi Trickbot aveva già dato prova di notevole trasformismo. Dopo aver colpito diverse banche online, specialmente australiane, si è dapprima esteso geograficamente, poi ha sviluppato nuove capacità. Oltre a visualizzare sul browser false pagine Web di banche e servizi finanziari, grazie ai nuovi moduli distribuiti dai suoi sviluppatori il malware ha potuto prendere di mira gli account PayPal e applicazioni Crm aziendali, e poi ancora a creare false pagine di login per servizi legati alle criptovalute.

 

 

Nella nuova versione del malware osservata dai ricercatori di Fortinet l'intero meccanismo diventa più insidioso, poiché il desktop virtuale viene creato senza dare nell'occhio. L'istanza del desktop alternativo resta, cioè, nascosta agli occhi dell'utente e quindi l'hacker può agire senza timore di essere scoperto, a meno che non se ne cerchino le tracce attraverso il Command System di WIndows (vedi schermata qui sopra). Lo scorso marzo un'altra società di cybersicurezza, Webroot, aveva denunciato la nascita di nuove varianti di Trickbot.