TrickBot ritorna con un nuovo attacco che ha compromesso 250 milioni di indirizzi email
Il malware TrickBot, che all'inizio di quest'anno ha lavorato in tandem con il Ryans ransomware per sottrarre milioni di dollari per gli hacker, è tornato con un nuovo attacco che potrebbe aver compromesso ben 250 milioni di account di posta elettronica.
In un report di Deep Instinct , la società di sicurezza informatica ha rivelato una nuova variante di TrickBot che lo associa a un pericoloso e basato su e-mail e al modulo di distribuzione denominato TrickBooster.
Il nuovo attacco inizia come nei metodi precedenti, con TrickBot che si infiltra nel computer di una vittima. Il malware obbliga quindi la macchina a scaricare TrickBooster, che riporta a un server di comando e controllo dedicato con elenchi di indirizzi e-mail e credenziali di accesso raccolte dalla posta in arrivo, dalla posta in uscita e dalla rubrica della vittima. Successivamente, il server TrickBooster ordina alla macchina infetta di inviare e-mail dannose e e-mail di spam, con le e-mail cancellate dalla cartella Posta in uscita e dalla cartella Cestino per rimanere nascoste alla vittima.
Nell'indagine di Deep Instinct su TrickBooster e la relativa infrastruttura di rete associata, l'azienda di cibersicurezza ha scoperto un database contenente 250 milioni di account e-mail che sono stati raccolti dagli operatori di TrickBot. Gli indirizzi erano probabilmente anche presi di mira con le email dannose.
Il dump della posta elettronica recuperato include circa 26 milioni di indirizzi su Gmail, 19 milioni su Yahoo, 11 milioni su Hotmail, 7 milioni su AOL, 3,5 milioni su MSN e 2 milioni su Yahoo UK. Gli account compromessi coinvolgono anche molti dipartimenti e agenzie governative nel Stati Uniti, inclusi ma non limitati al Dipartimento di Giustizia, al Dipartimento della Sicurezza Nazionale, al Dipartimento di Stato, all'Amministrazione della Sicurezza Sociale, all'Internal Revenue Service, all'Amministrazione dell'Aviazione Federale e all'Amministrazione aeronautica e spaziale nazionale. Altre persone colpite includono organizzazioni governative e università nel Regno Unito e in Canada.
Deep Instinct spot ha controllato alcune migliaia di account e-mail compromessi da violazioni della sicurezza registrate in precedenza e ha rilevato che il database è un nuovo gruppo di indirizzi che non sono mai stati visti o segnalati in precedenza.
La scoperta di TrickBooster "mette in evidenza il successo e la sofisticazione di TrickBot", secondo Deep Instinct, mentre il modello è stato descritto come "una potente aggiunta al vasto arsenale di TrickBot" dei metodi di attacco.
Deep Instinct ha detto che continua la sua ricerca e analisi in TrickBooster, e che è in procinto di riportare i dettagli del nuovo attacco di TrickBot alle autorità.