0
Den Trickbot Trojan mål banker rundt omkring i verden.
Billede: iStock
En berygtet bank Trojan er rettet mod kunder i en større bank med en ny e-mail-spam-kampagne, som dirigerer ofre for en falsk login-side, der er umulig at skelne fra deres rigtige bank.
Credential-stjæle Trickbot bank-malware har været at ramme den finansielle sektor siden sidste år og mål netbank kunder i USA, UK, Australien og andre lande.
Dem, der står bag denne særlige banking Trojanske er i konstant udvikling, og det har endda været at eksperimentere med EternalBlue, Windows angreb, som hjalp til med at sprede WannaCry og Petya.
Men uanset hvor avanceret malware kommer, phishing forbliver en fælles angreb for at distribuere ondsindede nyttelast.
Afsløret af sikkerhed forskere på Cyren, den seneste Trickbot distribution kampagne, der sendes over 75.000 e-mails i 25 minutter, der alle hævder at være fra Lloyds Bank, en af UK ‘ s største banker.
E-mails blev sendt med emnet “Indgående Akb’, en reference til BACS, et system, der giver brugerne mulighed for at foretage betalinger direkte fra en e-mail-konto til en anden. E-mails hævder, at målet er behov for at gennemgå og underskrive vedlagte dokumenter.
En phishing-mail, der hævder at være fra Lloyds, der bruges til at distribuere Trickbot.
Billede: Cyren
Efter at du henter og åbner den vedhæftede Excel ‘IncomingBACs.xlsm’, brugeren bliver bedt om at aktivere makroer til at tillade, at det dokument, der skal redigeres. Som med mange ondsindede e-mail-kampagner, men det er denne proces, der giver den malware nyttelast skal sættes ind.
I dette tilfælde, den Trojanske bruger PowerShell til at hente en eksekverbar fil, som i sidste ende løber som ‘Pdffeje.exe’ den vigtigste TrickBot proces, der installerer malware på maskinen.
Når en computer er inficeret med Trickbot, den malware, der kører i baggrunden og venter på, at ofret for at besøge deres online bank.
Når de gør det, Trickbot omdirigerer dem til en ondsindet hjemmeside, som i dette tilfælde er en falsk version af Lloyds hjemmeside, der så ud præcis som den ægte vare — komplet med den korrekte URL-adresse for online-bank og en legitim SSL-certifikat, så en bruger kan ikke mistanke om, at de er ved at blive narret.
“Ved hjælp af HTML og JavaScript, det ondsindet websted er i stand til at vise den korrekte URL-adresse, og det digitale certifikat fra ægte websted på ondsindet side,” Sigurdur Stefnission, vice president for trussel forskning på Cyren, fortalte ZDNet.
Ved at gøre dette, angriberen er i stand til at se og stjæle ofrets online-banking legitimationsoplysninger og sikkerhedskoder, og gør ud med deres midler og data.
Mens den falske sites ligner den ægte vare — selv at vise brugeren den korrekte URL-adresse for online-bank og en legitim SSL-certifikat, så brugeren ikke se noget usædvanligt, — der er en stor giveaway, at e-mailen ikke er fra Lloyds: e-mail adresse den er sendt fra er stavet forkert.
I stedet for at være fra lloydsbank.co.storbritannien, hvis beskeden er sendt fra lloydsbacs.co.uk, et domæne hosted ved en hollandsk IP-adresse og en kendt kilde til spam.
I sin kerne, TrickBot stadig ligner sin forgænger, data-stjæle Dyre Trojan, med sin underskrift browser manipulation teknikker.
Mens det ikke er så produktive, som de kan lide af Zeus, Gozi, Ramnit, og Dridex, forskere advarer om, at Trickbot vil fortsætte med at være “formidabel kraft” i fremtiden, som forfatterne ser at tilføje mere potente evner til bedre at distribuere denne farlige malware.
“TrickBot udvikler sig og skifter næsten hver dag, og nye mål banker over hele verden, så alle banker bør være på vagt,” sagde Stefnission.
Det er i øjeblikket ikke klart, hvem der står bag Trickbot, men den måde, den malware, der er i konstant udvikling tyder på, det er arbejdet af en velorganiseret, godt-finansieret cyberkriminelle gruppe.
ZDNet kontaktet Lloyds Bank for en kommentar, men ikke havde modtaget et svar på tidspunktet for offentliggørelse.
Tidligere dækning
TrickBot banking Trojanske trin op for angreb mod det forenede KONGERIGE mål
IBM X-Force forskere advarer om, at dette sofistikeret malware familie, er hurtigt ved at blive en af de mest udbredte former for data-stjæle bank-Trojaner
Dyre efterfølger TrickBot angreb Australske banker
Den gamle Dyre besætning, synes at have bidraget til en ny Trojansk med en opdateret, mere ødelæggende funktioner.
MERE OM IT-KRIMINALITET
Bank Trojan prøver nye angreb teknikker mod højt profilerede mål for Hackere røvet russiske banker, eyed globale heist [CNET]WannaCry forsker benægter at skabe banking malware på retsmødet Cyberkrig: smart person ‘ s guide [TechRepublic]Watch out for disse penge at stjæle macOS malware, som efterligner din online-bank
0