Il CERT-PA ha direttamente rilevato una nuova campagna di malspam volta a diffondere il malware Trickbot.
Il caso osservato mostra le seguenti peculiarità:
- utilizzo della lingua italiana;
- la variabilità del mittente, oggetto, corpo e nome dell’allegato;
- il messaggio contiene un file “documento_doganale_XXXXXXX.doc” armato con macro malevola;
- caselle mittente reali plausibilmente compromesse;
- basso fattore di rilevamento del malware da parte degli antivirus.
L’allegato malevolo utilizza una parte statica e ricorrente “documento_doganale_” seguita da un valore numerico variabile di sette cifre tra cui:
- documento_doganale_1693507.doc
- documento_doganale_4644896.doc
- documento_doganale_3009002.doc
- documento_doganale_5288883.doc
- documento_doganale_2535400.doc
- documento_doganale_3647173.doc
- documento_doganale_4648739.doc
- documento_doganale_4769863.doc
- documento_doganale_6570725.doc
TrickBot, noto per essere nativamente un malware bancario, ha nel tempo subito numerose e diverse specializzazioni. Alcune di queste lo hanno reso particolarmente insidioso negli ambienti aziendali e nel corso degli anni ha visto l’utilizzo di tecniche differenti tra cui: profilazione della rete, raccolta di dati di massa, inclusione di exploit. L’ultima ricerca in tal senso, effettuata da SentinelLab, ha notato un legame di Trickbot con gruppi organizzati e minacce persistenti di tipo avanzato (APT).