Троянец Trickbot, нацеленный на финансовые учреждения США

Нередко вредоносное ПО, будь то программы-вымогатели или трояны, эволюционирует в своих методах атаки. То, что вредоносное ПО, возможно, делало год назад, может легко измениться за относительно короткое время. Это может быть не только фактический тип атак, которые выполняет вредоносное ПО, но и регионы, в которых оно присутствует или на которые оно нацелено. Троянец Trickbot является прекрасным примером этого, как обнаруживают исследователи безопасности.

Первоначально обнаруженный в 2016 году, Trickbot представляет собой банковский троянец, который, согласно новому отчету Flashpoint, выполнял атаки «человек в браузере» (MitB) и специально нацеливал «конфигурацию веб-инжекта вредоносного ПО» на «финансовые учреждения, расположенные за пределами США». Однако примерно с середины июля исследователи впервые начали наблюдать активность против финансовых учреждений США. Хуже того, троянец Trickbot распространялся в рамках спам-кампании, подпитываемой ботнетом Necurs.

Как говорится в отчете:

Первая волна спама содержала электронное письмо в формате HTML, замаскированное под счет от австралийской телекоммуникационной компании. Эти вредоносные электронные письма содержали заархивированный Zip файл сценария Windows (WSF), состоящий из запутанного кода JavaScript. После щелчка файлы загружаются и запускают загрузчик Trickbot… последующие кампании эволюционировали и, похоже, вместо этого используют вредоносные документы, загруженные макросами, в качестве вложений.

Пример спам-письма, содержащего Trickbot, можно увидеть ниже:

Учитывая мощь ботнета Necurs, стоящего за трояном Trickbot, исследователи в области безопасности встревожены тем, что число атак растет по всему миру. Как написал Лимор Кессем из Security Intelligence: «TrickBot — первый и единственный банковский троянец, покрывающий такое множество географических и языковых зон схемами перенаправления — тип атаки, который, как известно, требует больше ресурсов для производства и поддержки, чем динамические схемы веб-инъекций».

Главное, что нужно понять, это то, что Trickbot или его преемники, несомненно, продолжат двигаться дальше того, что когда-то считалось невозможным для банковских вредоносных программ. Подразделения ИТ-безопасности в финансовых учреждениях по всему миру должны проявлять особую осторожность, чтобы понять, как работает Trickbot и как ему противодействовать.