Trickbot вернулся со свежими фишинговыми и вредоносными атаками
Вредоносное ПО Trickbot возвращается с новой кампанией — всего через несколько месяцев после того, как его деятельность была прервана коалицией компаний, занимающихся кибербезопасностью и технологиями.
Вредоносное ПО Trickbot возвращается с новой кампанией — всего через несколько месяцев после того, как его деятельность была прервана коалицией компаний, занимающихся кибербезопасностью и технологиями.
Trickbot пользуется популярностью у киберпреступников
Первоначально начав жизнь как банковский троян, Trickbot превратился в очень популярную форму вредоносного ПО среди киберпреступников, особенно потому, что его модульный характер позволял использовать множество различных видов атак. К ним относятся кража учетных данных и способность распространяться по сети, распространяя инфекцию дальше.
Trickbot даже стал загрузчиком других форм вредоносного ПО, при этом киберпреступники использовали машины, уже взломанные Trickbot, как средство доставки других вредоносных программ, включая программы-вымогатели.
В октябре прошлого года устранение, проведенное под руководством Microsoft, нарушило инфраструктуру ботнета вредоносного ПО Trickbot, но теперь оно, похоже, возвращается к жизни, поскольку исследователи Menlo Security выявили продолжающуюся вредоносную кампанию, которая имеет признаки предыдущей активности Trickbot.
Trickbot: возвращение
Эти атаки, по всей видимости, нацелены исключительно на юридические и страховые компании, а фишинговые письма побуждают потенциальных жертв щелкнуть ссылку, которая перенаправит их на сервер, который загружает вредоносную нагрузку.
Многие из этих писем утверждают, что пользователь был причастен к нарушению правил дорожного движения, и указывают им на загрузку «доказательств» его проступка — это уловка социальной инженерии, которая может застать людей врасплох и заставить их загрузить файл. В этом случае загрузка представляет собой zip-архив, который содержит вредоносный файл Javascript — типичный метод, применяемый кампаниями Trickbot, который подключается к серверу для загрузки окончательной полезной нагрузки вредоносного ПО.
Анализ этой полезной нагрузки показывает, что она подключается к доменам, которые, как известно, распространяют вредоносное ПО Trickbot, что указывает на то, что он снова активен и может представлять угрозу для корпоративных сетей.
В то время как действия Microsoft и ее партнеров заслуживают похвалы, а активность Trickbot свелась к минимуму, злоумышленники, похоже, достаточно мотивированы, чтобы восстановить операции и заработать на текущей среде угроз.
В рекомендациях по Trickbot Национального центра кибербезопасности, организациям рекомендуется использовать последние поддерживаемые версии операционных систем и программного обеспечения, а также применять исправления безопасности, чтобы предотвратить распространение других вредоносных программ Trickbot, использующих известные уязвимости.
Также рекомендуется, чтобы организации применяли двухфакторную аутентификацию в сети, чтобы в случае взлома одной машины вредоносным ПО было труднее распространиться.
