Кибер атака Black Lives Matter  — Электронные письма доставляют вредоносное ПО TrickBot

В электронных письмах Malspam утверждается, что они проводят опрос о BLM, но в действительности они предоставляют печально известный банковский троян.

Кибер атаки снова используют 24-часовой цикл новостей, чтобы извлечь выгоду из сложившейся ситуации — на этот раз с помощью поддельной кампании по распространению вредоносного спама Black Lives Matter, которая распространяет вредоносное ПО TrickBot.

Правительственные чиновники

По данным швейцарской охранной фирмы Abuse.ch, действующие лица, представляющие угрозу, изображают из себя правительственных чиновников, пытаясь заманить социально ориентированных жертв на использование вредоносного вложения в электронном письме. В сообщениях используется грамматически оспариваемая тема: «Голосовать анонимно о Black Lives Matter» или «Оставить отзыв о Black Lives Matter конфиденциально», и подразумевается, что он содержит документ опроса.

 

 

 

 

 

В соответствии с образцами документов кампании (впервые полученными от Bleeping Computer), вложение, если оно открыто, отображает кнопку, призывающую получателей «Включить редактирование» или «Включить содержимое». При нажатии кнопка активирует вредоносные макросы, которые, в свою очередь, загружают TrickBot в виде вредоносной библиотеки (файл .DLL).

TrickBot

TrickBot — это быстро развивающаяся модульная разновидность вредоносного ПО, которая существует с 2016 года и начинает свою жизнь как банковский троян. Со временем он постепенно расширил свои функции, включив сбор учетных данных из электронных писем жертвы, браузеров и установленных сетевых приложений. Вредоносные программы также эволюционировали, добавляя больше модулей и выступая в качестве средства доставки других вредоносных программ.

Например, в начале этого месяца в арсенал TrickBot был добавлен новый скрытый бэкдор, который исследователи называют «BazarBackdoor»; и в январе исследователи обнаружили, что операторы вредоносного ПО используют «PowerTrick», бэкдор, который помог вредоносному ПО провести разведку целевых финансовых учреждений, а также получить другие «черные ходы».

Кибер преступники, которые ищут быструю выгоду, часто используют популярные движения, политические события или спортивные события, чтобы извлечь выгоду из интереса людей к данному предмету. Это происходит постоянно,было такое и с Суперкубком и Кубком мира; и совсем недавно мошенники приняли множество COVID-19- и коронавирусных приманок, чтобы заинтересовать получателей электронной почты.

Абъюз

Кампания на тему BLM, помеченная Abuse_ch, не единственная. Александр Франсуа, начальник отдела по работе с провайдером разведки киберугроз whoisxmlapi.com, сообщил Threatpost, что фирма начала обнаруживать растущее число вновь зарегистрированных доменных имен, которые включают в себя строки слов «blacklives» и «georgefloyd», такие как blacklivematterfund [ .] com и thegeorgefloydfundation [.] net.

С прошлого четверга whoisxmlapi.com обнаружил в среднем 49 новых регистраций доменов, содержащих любую строку слов, появляющуюся в день. Многие, вероятно, законны — и многие, вероятно, нет.

«По нашему опыту, этот тип доменного имени может быть убедительно использован в качестве фишинг-ловушки, где жертвы обманываются, отправляя деньги в фиктивный фонд или фонд», — сказал Франсуа.

В целом, компании и конечные пользователи должны помнить об этой кампании новостей дня, отметили исследователи, — хотя у этой конкретной программы есть некоторые красные флажки, такие как имя фальшивого отправителя («Администрация страны»). «).

«Последняя кампания по распространению TrickBot подчеркивает необходимость защиты организаций от фишинговых атак», — говорится в сообщении, опубликованном в четверг в Tripwire. «Один из способов сделать это — рассказать своим сотрудникам о некоторых наиболее распространенных типах фишинговых кампаний, которые распространяются сегодня».

Источник: threatpost.com

Перевод: Анна М.

Понравилась статья? У нас таких есть еще — www.cryptocity.tech