Un aumento dell’attività di TrueBot è stato osservato nel maggio 2023, hanno rivelato i ricercatori di cybersecurity. “TrueBot è un trojan downloader botnet che utilizza server di comando e controllo per raccogliere informazioni sui sistemi compromessi e utilizza quel sistema compromesso come punto di lancio per ulteriori attacchi”, ha detto Fae Carlisle di VMware.
TrueBot e il gruppo Silence
Attivo almeno dal 2017, TrueBot è collegato a un gruppo noto come Silence che si ritiene condivida sovrapposizioni con il noto attore del cybercrime russo noto come Evil Corp.
I vettori di consegna di TrueBot
Le recenti infezioni di TrueBot hanno sfruttato una grave vulnerabilità in Netwrix auditor (CVE-2022-31199, punteggio CVSS: 9.8) così come Raspberry Robin come vettori di consegna. La catena di attacco documentata da VMware, invece, inizia con un download drive-by di un eseguibile chiamato “update.exe” da Google Chrome, suggerendo che gli utenti vengono attirati a scaricare il malware sotto il pretesto di un aggiornamento software.
Il funzionamento dell’attacco
Una volta eseguito, update.exe stabilisce connessioni con un noto indirizzo IP di TrueBot situato in Russia per recuperare un eseguibile di seconda fase (“3ujwy2rz7v.exe”) che viene successivamente lanciato utilizzando Windows Command Prompt. L’eseguibile, a sua volta, si connette a un dominio di comando e controllo (C2) ed esfiltra informazioni sensibili dall’host. È anche in grado di enumerare processi e sistemi.
L’effetto di TrueBot
“TrueBot può essere un’infezione particolarmente fastidiosa per qualsiasi rete”, ha detto Carlisle. “Quando un’organizzazione è infettata da questo malware, può rapidamente degenerare in un’infezione più grande, simile a come si diffonde il ransomware in una rete”.