L’attacco del malware prevede un aggiornamento del modulo VNC

New York – Una variante del famigerato malware Trickbot è in grado di trasformare il desktop sulle macchine target, grazie all’uso di un modulo VNC modificato. In questo modo riesce a spiare le ignare vittime e a rubare dati sensibili agli utenti. A scoprirlo sono stati degli analisti dei sistemi di sicurezza informatica di Bitdefender, che in una loro analisi si sono dedicati soprattutto all’identificazione del protocollo di comunicazione e dell’infrastruttura in correlazione alle nuove funzionalità del modulo riscontrate. Il Trickbot nella versione aggiornata del modulo VNC (ossia tvncDll anziché vncDll, ma tuttora in fase di sviluppo probabilmente) avrebbe quindi obiettivi selezionati e di alto profilo, registrando frequenti aggiornamenti con nuove funzionalità e regolari correzioni. Nella nuova versione il Trickbot sarebbe impiegato principalmente per monitorare e raccogliere informazioni dei target designati con un protocollo di comunicazione personalizzato. Tra le scoperte degli analisti informatici c’è pure quella che al momento dell’infezione viene attivata una connessione con alcuni server C2 definiti in un file di configurazione denominato “vncconf”, che include una lista di ben nove indirizzi IP.