0
Den Trickbot Trojan mål banker runt om i världen.
Bild: iStock
En ökänd bank Trojan är inriktad både på kunder av en stor bank med en ny e-spam-kampanjen, som riktar offer till en falsk inloggningssida som är omöjlig att skilja från den som deras riktiga bank.
Den referens som stjäl Trickbot bank-malware har varit att träffa den finansiella sektorn sedan förra året och mål-online-banking-kunder i USA, STORBRITANNIEN, Australien och andra länder.
De som står bakom just denna bank Trojan är att kontinuerligt utveckla det och har även experimenterat med EternalBlue, Windows utnyttja som hjälpte till att sprida WannaCry och Petya.
Men oavsett hur avancerad skadlig kod blir, phishing är fortfarande ett vanligt angrepp för att distribuera skadlig nyttolast.
Upptäckt av säkerhet forskare vid Cyren, den senaste Trickbot distribution kampanj som skickas över 75 000 e-post inom 25 minuter, alla som påstår sig vara från Lloyds Bank, en av STORBRITANNIENS största banker.
E-post skickades med ämnet “Inkommande BACs”, en hänvisning till BACS, ett system som tillåter användare att göra betalningar direkt från ett e-postkonto till ett annat. E-post hävdar att målet behöver för att granska och registrera bifogade dokument.
En phishing-mail som påstår sig vara från Lloyds som används för att distribuera Trickbot.
Bild: Cyren
Efter att ladda ner och öppna bifogad Excel-fil ‘IncomingBACs.xlsm”, och användaren uppmanas att aktivera makron för att tillåta dokument som ska redigeras. Som med många skadlig e-post kampanjer, men det är denna process som gör att skadlig kod nyttolast ska sättas in.
I detta fall, den Trojanska använder PowerShell för att ladda ner en körbar fil, som så småningom rinner ut “Pdffeje.exe’ den viktigaste TrickBot process, för att installera skadlig kod på maskinen.
När en dator är infekterad med Trickbot, skadlig kod körs i bakgrunden och väntar på offret för att besöka sin bank.
När de gör så, Trickbot omdirigerar dem till en skadlig webbplats, vilket i detta fall är en falsk version av Lloyds webbplats som såg exakt ut som the real thing — komplett med rätt WEBBADRESS för online-bank och en giltig SSL-certifikat, så att en användare kan inte misstänker att de är lurade.
“Med hjälp av HTML och JavaScript, en skadlig webbplats kan visa den riktiga WEBBADRESSEN och det digitala certifikatet från den äkta webbplatsen på den skadliga sidan,” Sigurdur Stefnission, vice vd för hot forskning på Cyren, berättade ZDNet.
Genom att göra detta, angriparen kan se och stjäl offrets internetbank referenser och säkerhetskoder, och göra av med sina pengar och uppgifter.
Medan den falska webbplatser liknar den äkta varan-även visa användaren rätt WEBBADRESS för online-bank och en giltig SSL-certifikat så att användaren inte se något ovanligt-det är en stor gåva att e-post inte är från Lloyds: den e-postadress som skickas från felstavade.
Istället för att vara från lloydsbank.co.storbritannien, meddelandet skickades från lloydsbacs.co.storbritannien, en domän hos en holländsk IP-adress och en känd källa för spam.
I sin kärna, TrickBot fortfarande är lik sin föregångare, den som stjäl information Dyre Trojan, med sin signatur webbläsare manipulation tekniker.
Medan det inte är lika produktiv som gillar Zeus, Gozi, Ramnit, och Dridex, forskare varnar för att Trickbot kommer att fortsätta att vara “formidabel kraft” i framtiden, som författarna ser att lägga till mer potenta förmåga att bättre fördela denna farliga malware.
“TrickBot utvecklas och ändras nästan varje dag och nya mål banker över hela världen, så att alla banker bör vara uppmärksam,” sade Stefnission.
Det är för närvarande inte klart vem som ligger bakom Trickbot, men hur skadlig är ständigt utvecklas tyder på att det är ett verk av en välorganiserade, välfinansierade cybercriminal grupp.
ZDNet kontaktade Lloyds Bank för en kommentar, men inte fått svar vid tidpunkten för publicering.
Tidigare täckning
TrickBot bank Trojan steg upp attacker mot BRITTISKA mål
IBM X-Force forskare varnar för att denna sofistikerade familj av skadlig kod är snabbt på att bli en av de vanligaste formerna av data-att stjäla banktrojaner
Dyre efterträdare TrickBot attacker Australiska banker
Den gamla Dyre besättningen verkar ha bidragit till att en ny Trojan med en uppdaterad, mer förödande funktioner.
MER OM IT-RELATERAD BROTTSLIGHET
Bank Trojan testar nya tekniker attack mot hög profil mål Hackare rånad ryska banker, eyed globala heist [MAG]WannaCry forskare förnekar att skapa bank-malware vid domstolsförhandling Cyberkrig: smart person ‘ s guide [TechRepublic]Se upp för dessa pengar att stjäla macOS skadlig kod som efterliknar din internet-bank
0