È stato individuato dai ricercatori dei FortiGuard Labs di Fortinet un nuovo modulo distribuito da Trickbot, malware finanziario molto attivo che utilizza la tecnica “Hidden VNC” (virtual network computer) per nascondersi nello schermo del PC della vittima e prenderne furtivamente il controllo. Trickbot era stato rilevato per la prima volta l’anno scorso sfruttando una funzionalità simile per raccogliere l’impronta digitale del browser delle vittime. Questa nuova versione del malware riesce a operare senza bisogno di ottenere prima queste credenziali.
Il malware crea un desktop virtuale, vale a dire una copia del desktop – una funzionalità presente in Windows da tempo. Ma poiché non esisteva un’applicazione integrata per gestire questa funzionalità prima di Windows 10, si trattava di una funzionalità non molto nota. Trickbot sfrutta questo sistema VNC per visualizzare e controllare da remoto il desktop di una vittima. Poiché il nuovo desktop creato è nascosto, l’hacker può controllare il sistema preso di mira senza che la vittima se ne accorga.
Una volta creato il desktop virtuale, questo viene ulteriormente personalizzato con l’aggiunta di menù popup e di una taskbar. Vengono anche replicati alcuni file del desktop della vittima.
Uno dei due menù popup viene utilizzato per ottenere un facile accesso ad alcune applicazioni predefinite:
- Explorer – root directory
- Internet Explorer
- Edge
- Chrome
- Firefox
- Outlook Office (disabilitato)
- Windows Sheduler (MMC)
- Windows Sheduler (Console)
Al momento, Microsoft Outlook Office è disabilitato, il che suggerisce che il modulo sia ancora in sviluppo. Le voci del menù che corrispondono ad applicazioni inesistenti appaiono quindi di colore grigio.
Al fine di assicurarsi che le richieste di online banking requestssiano legittime, le istituzioni finanziarie generano un codice identificativo univoco associato ai device dei clienti, noto come device fingerprinting. Le informazioni utilizzate a questo fine includono l’indirizzo IP del cliente per il tracciamento della geolocalizzazione, le impostazioni del browser, eccetera. In genere gli hacker, per poter utilizzare gli accoint delle loro vittime, utilizzano delle proxy e ne replicano il device fingerprint. Ovviamente esiste un’altra opzione, vale a dire quella di effettuare il login dal device stesso. In questo caso, pare che l’opzione prescelta sia la seconda.
I ricercatori dei FortiGuard Labs monitorano da tempo questo tipo di malware, e dopo i numerosi moduli che i cybercriminali hanno nel tempo distribuito alle vittime in modalità “download-and-execute”, è interessante notare il passaggio a un metodo più diretto per il controllo di un sistema infetto.
