Con l’evolversi delle tecnologie basate sull’intelligenza artificiale, migliorano i servizi abitualmente offerti agli utenti, ma anche quelli sfruttati dagli hacker, come segnalato dalla security house newyorkese Deep Instict, che ha appena quantificato i danni cagionati dalla nuova evoluzione del malware TrickBot.
Secondo gli esperti, il malware modulare TrickBot, in circolazione dal 2016 col fine di sottrarre dati finanziari (quindi classificabile come “bankware”), oltre a diffondersi tramite il protocollo Windows SMB (Server Message Block), che si occupa di gestire la condivisione delle risorse tra i nodi delle reti locali, sfrutta anche le mail di spam.
Proprio con queste ultime, lo scorso Aprile, in occasione di un tax day americano, ha rubato diverse credenziali dopo aver integrato il modulo Cookie Grabber, che permette di aver accesso ai log-in senza la necessità d’inserirvi le password, semplicemente avendo rubato i cookies dei browser delle vittime.
Ora, il 25 Giugno scorso, Deep Instict ha scoperto un’ulteriore evoluzione di TrickBot, grazie all’inedito modulo TrickBooster: quest’ultimo, servendosi di un certificato rilasciato legittimamente ad alcune imprese, ma manipolato, permette di usare le mail dei terminali coinvolti per inviare mail di spam e cancellare le prove dell’avvenuta spedizione (dalla posta inviata e in uscita) delle stesse, in modo che fosse ben difficile avvedersi dell’infezione.
Sempre nel corso delle ultime indagini in merito al malware TrickBot, è emerso come quest’ultimo si serva – nel corso della sua campagna virale – di circa 250 milioni di mail compromesse (non ottenute da precedenti violazioni note) che, conservate su un server remoto, sono tratte da diversi mail provider (tra cui i più colpiti risulterebbero Gmail con 25 milioni, Hotmail con 11 milioni, Yahoo con 21 milioni), e riguardano non solo normali consumatori, ma anche enti governativi di svariate agenzie statunitensi, britanniche, e canadesi (es. servizio postale, sicurezza nazionale, dipartimento di Stato). Deep Instict ha spiegato, infine, d’aver avvertito le autorità preposte che, avendo revocato i certificati manipolati, hanno finito con l’inibire ciò che rendeva più efficace il nuovo attacco hacker di TrickBot.