Стало известно, что вредонос TrickBot, известный специалистам еще с 2016 года, помимо банковских приложений атакует пользователей PayPal и различные CRM-системы. Кроме того, банкер научился похищать данные из Outlook и браузеров, а сами разработчики продолжают экспериментировать с эксплоитом EternalBlue, с помощью которого распространялись WannaCry и NotPetya.
Хотя функции саморазмножения и эксплоиты, подобные EternalBlue, это определенно перспективное направление для злоумышленников, основным вектором распространения остается спам. Специалисты компании Cyren сообщили, что зафиксировали новую спамерскую кампанию, в ходе которой операторы зловреда маскируют свои письма под сообщения от одного из крупнейших британских банков, Lloyds Bank, и рассылают спам со скоростью более 75 000 сообщений за 25 минут.
Такие письма содержат вложенный файл IncomingBACs.xlsm, после запуска которого пользователя попросят разрешить работу макросов. Заразив систему, TrickBot работает на фоне и терпеливо ждет, когда пользователь посетит сайт банка. Когда это наконец происходит, троян переадресует свою жертву на фальшивый сайт, который с первого взгляда сложно отличить от настоящего сайта Lloyds. Используя HTML и JavaScript, атакующие показывают жертве верный URL, а также ресурс даже имеет действительный SSL-сертификат.
Заподозрить подмену очень трудно: для этого нужно внимательно присмотреться к фишинговому письму, адрес банка там написан с «ошибкой»: lloydsbacs.co.uk вместо lloydsbank.co.uk. Этот домен размещается на голландском IP-адресе и является известным источником спама.
Специалисты предупреждают, rickBot меняется почти каждый день, список целей малвари пополняется все новыми и новыми банками из разных стран мира.
Хотя функции саморазмножения и эксплоиты, подобные EternalBlue, это определенно перспективное направление для злоумышленников, основным вектором распространения остается спам. Специалисты компании Cyren сообщили, что зафиксировали новую спамерскую кампанию, в ходе которой операторы зловреда маскируют свои письма под сообщения от одного из крупнейших британских банков, Lloyds Bank, и рассылают спам со скоростью более 75 000 сообщений за 25 минут.
Такие письма содержат вложенный файл IncomingBACs.xlsm, после запуска которого пользователя попросят разрешить работу макросов. Заразив систему, TrickBot работает на фоне и терпеливо ждет, когда пользователь посетит сайт банка. Когда это наконец происходит, троян переадресует свою жертву на фальшивый сайт, который с первого взгляда сложно отличить от настоящего сайта Lloyds. Используя HTML и JavaScript, атакующие показывают жертве верный URL, а также ресурс даже имеет действительный SSL-сертификат.
Заподозрить подмену очень трудно: для этого нужно внимательно присмотреться к фишинговому письму, адрес банка там написан с «ошибкой»: lloydsbacs.co.uk вместо lloydsbank.co.uk. Этот домен размещается на голландском IP-адресе и является известным источником спама.
Специалисты предупреждают, rickBot меняется почти каждый день, список целей малвари пополняется все новыми и новыми банками из разных стран мира.
