I ricercatori dei FortiGuard Labs di Fortinet hanno individuato un nuovo modulo distribuito da Trickbot, un malware finanziario molto attivo che utilizza una tecnica chiamata “Hidden VNC” (virtual network computer) per nascondersi nello schermo del PC Windows della vittima e prenderne furtivamente il controllo.
Trickbot era stato rilevato per la prima volta l’anno scorso sfruttando una funzionalità simile per raccogliere l’impronta digitale del browser delle vittime. Questa nuova versione del malware riesce a operare senza bisogno di ottenere prima queste credenziali.
In pratica, il malware crea una copia del desktop (desktop virtuale), una funzionalità presente in Windows da tempo. Ma poiché non esisteva un’applicazione integrata per gestire questa funzionalità prima di Windows 10, si trattava di una funzionalità non molto nota.
Trickbot sfrutta questo sistema VNC per visualizzare e controllare da remoto il desktop di una vittima. Poiché il nuovo desktop creato è nascosto, l’hacker può controllare il sistema preso di mira senza che la vittima se ne accorga.
I ricercatori dei FortiGuard Labs monitorano da tempo questo tipo di malware, e dopo i numerosi moduli che i cybercriminali hanno nel tempo distribuito alle vittime in modalità “download-and-execute”, è interessante notare il passaggio a un metodo più diretto per il controllo di un sistema infetto.
Maggiori informazioni sul blog dei FortiGuards Labs.
