TrickBot широко известен своими функциями банковского трояна, которые позволяют имитировать окна онлайн-банкинга и украсть личную информацию, такую как логин и пароли. Аналитики утверждают, что эта вредоносная программа, изобретенная и выпущенная в киберпространство, заметно превосходит Dyre trojan. Хотя в июне 2017 года он активно организовывал атаки на CRM и платежные системы, теперь он использовал новую кампанию для рассылки спама.
Анализ показал, что этот банковский троянец использует аналогичные методы шифрования и стратегии захвата как Dyre (альтернативно известный как Dyreza). Вредоносные программы могут обходить некоторые программы безопасности и внедряться в систему, когда пользователи нажимают на вредоносную ссылку или загружают фейковую программу.
Новый вирус заражает компьютеры через документы word: Trojan имеет большие возможности
После вторжения TrickBot вводит свои вредоносные сценарии в коды на банковские веб-сайты. Другими словами, кибер-угроза переключает исходную версию сайта с его зловредной заменой. Для обеспечения соблюдения этого метода используется язык шифрования C. В связи с этим недавно обнаруженная вредоносная программа Trick Bot также использует улучшенную версию алгоритма — C ++.
Более того, эта технология дополняется алгоритмом Microsoft CryptoAPI в отличие от AES и SHA256, ранее использовавшихся Dyre. В отличие от предыдущей версии вируса, Trojan.TrickBot выполняет команды COM и TaskScheduler для управления компьютером под контролем.
Первые кампании были нацелены только на австралийские банки. Однако в апреле 2017 года троянец был замечен атакующими банками в Соединенных Штатах, Канаде, Великобритании, Ирландии, Германии, Франции, Швейцарии и Новой Зеландии. [3]
Новый вирус заражает компьютеры через документы word: Вирус TrickBot обманывает пользователей как обычный вордовский электронной почты от фейкового Lloyds Bank
Не смотря на то, что, троян в основном ориентирован на банки; другие пользователи также могут столкнуться с этим. В случае атаки необходимо запустить полную проверку системы с помощью надежной программы удаления вредоносных программ, например Reimage . Это поможет полностью удалить TrickBot из системы.
Эксперты недавно обнаружили новый способ использования TrickBot trojan. Вредоносная программа распространялась внутри писем электронной почты от фейкового банка Lloyds. Он был замаскирован как документ, содержащий конфиденциальные данные учетной записи. Обратите внимание, что официальный Lloyds Bank никак не связан с этой кампанией malspam, за исключением того, что его имя использовалось в злонамеренных целей.
Новый вирус заражает компьютеры через документы word: письмо было призвано выглядеть чрезвычайно искренним и убежденным, чтобы люди поверили в его законность
В письме по электронной почте вкратце объяснили получателям, что это автоматически отправленное сообщение, которое не требует ответа. И просто просили доверчивых людей проверить приложение и прилагались следующие инструкции:
Чтобы разблокировать / просмотреть документы, следуйте инструкциям ниже.
1. Найдите вложение (Protected.doc) (обычно вверху или внизу, местоположение зависит от службы электронной почты).
2. Ваш код авторизации: 430SJAOPS982XXS.
3. При появлении запроса введите код авторизации.
Никогда не надо открывать документы, которые выглядят подозрительными или не связанными с вами. . В июне 2017 года хакеры пытались использовать подобную кампанию malspam, которая была почти идентична той, которая распространяется на Jans Ransomware .
Киберпреступники использовали методы социальной инженерии, чтобы обмануть пользователей в открытии вредоносного приложения электронной почты. Они включали обфускацию PDF-файла, который открывает документ Word. Этот файл попросил включить макрокоманду для просмотра содержимого. Нажатие кнопки «Включить макросы» запускает троян в системе. Новые жертвы TrickBot были банками в Индии, Сингапуре, Нидерландах и Болгарии. [5]
Тем не менее, финансовые учреждения были не единственными, кто страдал от троянских программ. Теперь он также нацелен на двух поставщиков SaaS-клиентов (CRM) и пользователей PayPal. В мае исследователи безопасности обнаружили две кампании распространения вредоносных программ, которые нацелены на 210 URL-адресов и 251 URL-адрес.
Новый вирус заражает компьютеры через документы word: троянские программы распространяются через фишинговые письма
Эксперты обнаружили, что фишинговые письма по-прежнему являются основным методом распространения, используемым хакерами для проникновения TrickBot. Они могут маскироваться под подлинно выглядящие документы PDF или DOC и содержать строку « Счет-фактура» или «Конфиденциальные данные». Люди легко обманываются и открывают вредоносные приложения, так как преступники подражают известным компаниям.
Вредоносные программы также предназначены для пользователей PayPal., при получении письма от PayPal с инструкцией о каких либо действиях с учетной записью, необходимо зайти на их сайт напрямую, а не нажимать предоставленные ссылки или прилагаемые документы.
Мошенники разрабатывают различные методы доступа к личной информации. Такие письма обычно очень убедительны. Не стоит вестись у них на поводу, даже если они просят просмотреть подозрительные документы-фактуры или налоговые отчеты.
Кроме того, троянец может присоединяться к бесплатному приложению. Поэтому перед установкой даже нового медиаплеера нужно прежде подумать над этим.
Последний часто оказывается носителем более злонамеренных кибер-угроз. Соблюдая дополнительную осторожность, можно уменьшите вероятность захвата TrickBot.
Единственный способ очистить систему от трояна — использовать надежное программное обеспечение.
