TrickBot è un malware bancario che fa parlare di sé già da diverso tempo a questa parte e che ha come particolarità l’essere modulare, per cui viene costantemente aggiornato con nuove funzionalità e nuove tecniche di distribuzione, il che rende parecchio complicata la vita dei ricercatori di sicurezza informatica che tentano di arginarlo. Evidente dimostrazione di ciò è l’ultima evoluzione del trojan.
TrickBot: quando scovato dai ricercatori manda in crash il sistema
Stando infatti a quanto recentemente emerso, i pirati informatici alle spalle di TrickBot hanno inserito in esso uno script anti-debugging che prende di mira quelle che in gergo tecnico vengono definite come code beautifying, cioè quelle attività automatiche che i ricercatori usano per rendere maggiormente leggibile il codice delle applicazioni malevole, e nel momento in cui viene adoperata una funzionalità di questo tipo, il malware reagisce avviando un loop che satura la memoria del dispositivo su cui è presente, mandando in crash il sistema.
In soldoni, se un ricercatore di sicurezza cerca di analizzare la nuova versione di Trickbot, si ritrova a dover fare i conti con un sistema che cerca di mandare in tilt il computer su cui viene effettuato lo studio.
Ovviamente la tecnica descritta poc’anzi non è l’unico espediente adoperato per rendere difficoltosa l’analisi di TrickBot: i cybercrminali hanno usato pure un sistema di codifica Base64 e l’inserimento di una buona dose di codice spazzatura.
Da notare che tutto ciò costituisce una novità nel panorama del modus operandi dei malware. In genere, infatti, i malintenzionati adottano tecniche di offuscamento per impedire l’analisi del codice dei loro virus o lo euipaggiano con funzionalità in base alle quali se vengono rilevati indizi che portano a pensare che venga eseguito in ambienti virtuali dagli esperti di sicurezza questo “si finge morto”.