Вредоносный троян нацелился на клиентов крупного банка в новой спам-кампании. Пользователи пересылаются на фальшивую страницу для ввода логина и пароля, которая неотличима от страницы входа на сайт настоящего банка.
Троян носит название TrickBot, финансовый сектор страдает от него ещё с прошлого года в нескольких странах, включая США, Великобританию и Австралию. Авторы постоянно развивают своё вредоносное приложение и экспериментировали с Windows-эксплоитом EternalBlue, который позволил распространять приложения-вымогатели WannaCry и Petya.
Вне зависимости от сложности вредоносных приложений фишинг остаётся основным методом распространения. Троян был обнаружен специалистами компании Cyren. В последний раз было послано более 75000 электронных писем за 25 минут. Во всех говорится, что письма прислали из крупнейшего банка Великобритании Lloyds Bank.
Письма содержат заголовок Incoming BACs (система платежей от одного почтового аккаунта другому). В письме говорится, что получатель должен просмотреть и подписать вложенные документы. После скачивания и запуска файла Excel пользователя просят включить макросы для редактирования документов, но вместо этого происходит распространение вредоносного кода.
Троян использует PowerShell для скачивания исполняемого файла, который запускает основной процесс под названием Pdffeje.exe. Когда компьютер инфицирован, приложение работает в фоновом режиме и ждёт посещения онлайн-банка. Когда это происходит, троян перенаправляет пользователя на вредоносный сайт с правильным URL-адресом и настоящим сертификатом SSL. За счёт этого злоумышленники могут украсть логины и пароли на вход, а также коды безопасности.
Природу писем можно определить по неправильному электронному адресу отправителя. Вместо lloydsbank.co.uk используется lloydsbacs.co.uk. В своей основе TrickBot остаётся похожим на предшественника под названием Dyre Trojan. В будущем у него могут появиться дополнительные функциональные возможности. Судя по почерку, речь идёт о хорошо организованной и финансируемой группе злоумышленников, которые способны выбрать в качестве мишени любой банк из любой страны.