0
Il Trickbot Trojan obiettivi delle banche di tutto il mondo.
Immagine: iStock
Un famigerato Trojan bancario di mira i clienti di una grande banca con una nuova e-mail di spam campagna, che dirige le vittime di una falsa pagina di login che è indistinguibile da quella della loro banca.
Le credenziali per il furto di Trickbot banking malware ha colpito il settore finanziario, dall’anno scorso, e gli obiettivi di online banking clienti in USA, regno UNITO, Australia e altri paesi.
Chi sta dietro a questo particolare Trojan bancari sono in continuo sviluppo e hanno anche sperimentato con EternalBlue, Windows exploit che hanno contribuito a diffondere il WannaCry e Petya.
Ma non importa come malware avanzato ottiene, phishing continua vettore di attacco per la distribuzione di payload dannosi.
Scoperto da ricercatori di sicurezza a Cyren, l’ultima Trickbot campagna di distribuzione inviato oltre 75.000 messaggi di posta elettronica in 25 minuti, tutti affermano di essere da Lloyds Bank, uno dei più grande del regno UNITO banche.
E-mail sono stati inviati con il soggetto ‘in Arrivo BACs’, un riferimento a BACS, un sistema che permette agli utenti di effettuare pagamenti direttamente da un account di posta elettronica a un altro. Le e-mail di reclamo che il bersaglio deve esaminare e firmare i documenti allegati.
E-mail di phishing che si spacciano per Lloyds utilizzato per distribuire Trickbot.
Immagine: Cyren
Dopo il download e l’apertura di Excel allegato ‘IncomingBACs.xlsm’, all’utente viene chiesto di attivare le macro, per consentire il documento da modificare. Come con molti malintenzionati campagne e-mail, tuttavia, questo processo che consente il payload di malware per essere distribuito.
In questo caso, il Trojan utilizza PowerShell per scaricare un file eseguibile, che alla fine viene eseguito come ‘Pdffeje.exe’ il principale TrickBot processo, che installa il malware sulla macchina.
Una volta che il computer è stato infettato con Trickbot, il malware viene eseguito in background e attende la vittima a visitare la loro banca online.
Quando lo fanno, Trickbot li reindirizza a un sito dannoso, che in questo caso è una versione falsa di Lloyds sito che sembrava esattamente come la cosa reale — completo con l’URL corretto della banca online e legittimo certificato SSL, in modo che un utente può non sospettare che sei stato ingannato.
“Utilizzando l’HTML e il JavaScript, il sito dannoso, è in grado di visualizzare l’URL corretto e il certificato digitale da un genuino sito dannoso pagina,” Sigurdur Stefnission, vice presidente della minaccia di ricerca presso Cyren, ha detto a ZDNet.
In questo modo, l’utente malintenzionato è in grado di vedere e rubare la vittima di banking online di credenziali e i codici di sicurezza, e fare fuori con i loro fondi e dati.
Mentre i siti fasulli simile la cosa reale, anche mostrando all’utente l’URL corretto della banca online e legittimo certificato SSL in modo che l’utente non vede nulla di strano, c’è una grande omaggio che l’email non è da Lloyds: l’indirizzo e-mail è stato inviato dalla è stato digitato in modo non corretto.
Invece di essere da lloydsbank.co.regno unito, il messaggio viene inviato da lloydsbacs.co.uk, un dominio ospitato da un olandese indirizzo IP e una nota fonte di spam.
Al suo interno, TrickBot rimane simile al suo predecessore, il furto di dati Dyre di Troia, con la sua firma browser tecniche di manipolazione.
Mentre non è così prolifico come artisti del calibro di Zeus, Gozi, Ramnit, e Dridex, i ricercatori avvertono che Trickbot continuerà ad essere “forza formidabile” in futuro, come i suoi autori look per aggiungere più potente funzionalità di distribuire meglio questo pericoloso malware.
“TrickBot si evolve e cambia quasi ogni giorno e obiettivi nuovi le banche di tutto il mondo, in modo che tutte le banche dovrebbero essere in allerta”, ha detto Stefnission.
Attualmente non è chiaro chi c’è dietro Trickbot, ma il modo in cui il malware è in continua evoluzione suggerisce è il lavoro di un ben organizzato, ben finanziato gruppo di criminali informatici.
ZDNet contattato Lloyds Bank per il commento, ma non avevo ricevuto risposta al momento della pubblicazione.
Precedente copertura
TrickBot Trojan bancario passi attacchi contro obiettivi regno UNITO
IBM X-Force di ricercatori avvertono che questo sofisticato famiglia di malware che sta rapidamente diventando una delle più diffuse forme di data-stealing Trojan bancari
Dyre successore TrickBot attacchi banche Australiane
Il vecchio Dyre equipaggio sembrano aver contribuito a un nuovo Trojan con aggiornata, più devastante caratteristiche.
PIÙ SULLA CRIMINALITÀ INFORMATICA
I Trojan bancari test di nuove tecniche di attacco contro le destinazioni di profilo Hacker rapinato banche russe, dagli occhi rapina globale [CNET]WannaCry ricercatore impedisce la creazione di malware bancario all’udienza Cyberwar: La persona intelligente guida [TechRepublic]Guardare fuori per questi soldi rubando macOS malware che imita la vostra banca online
0