TrickBot – нова спамовая атака на компанії



2 листопада ми стали свідками нової спамової кампанії, в рамках якої в компанії з Великобританії відправлялися електронні листи з вкладеним документом Word. Кожне поштове повідомлення мало тему «Companies House – new company complaint», а вкладений вордівському документ з назвою «Complaint.doc». Коли користувачі відкривали цей файл, то ось що вони бачили:



Як працює TrickBot?
Якщо користувач слід пропонованим інструкцій, то буде виконаний макрос з даного документа. Він завантажить файл під назвою dododocdoc.exe, який буде збережений в папці %temp% як sweezy.exe, а потім і виконаний. Даний файл – це варіант сімейства шкідливих програм TrickBot. Після запуску він встановить себе на комп'ютер і впровадить dll в системний процес svchost.exe. Звідти він буде підключатися до C&C-сервера.

Ця кампанія не була масштабною в глобальному сенсі, але вона була спрямована тільки на компанії з Великобританії. Сотні клієнтів Panda Security отримали такі листи, але всі вони були проактивно захищені, а тому їм не довелося робити будь-яких додаткових дій. Однак звертає на себе увагу чітка вибірковість даної кампанії, бо домашні користувачі не розглядалися в якості потенційних жертв, а корпоративні користувачі в переважній більшості представляли компанії з Великобританії, хоча було зафіксовано 7 випадків в Іспанії, по одному – в Бельгії, Ірландії і Таїланді. Ця кампанія була короткостроковою і пройшла в період з 10:55am до 12:11pm (GMT).

Макрос використовує PowerShell для виконання шкідливої програми, що стало вже звичним явищем, оскільки ця техніка стає все більш популярною останнім часом, будучи використовується для здійснення атак шифрувальниками або навіть для зараження PoS-терміналів.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.