ИБ-эксперты зафиксировали новые кибератаки с использованием банковской троянской программы TrickBot. Данная вредоносная программа появилась в сентябре прошлого года.
TrickBot многие специалисты рассматривают как преемника банковской троянской программы Dyre, чья активность была пресечена к 2016 году после обыска в одной из российских фирм. С момента выхода первой версии TrickBot разработчики постоянно модифицировали программу. В результате TrickBot может задействовать большое количество фальшивых страниц для авторизации, что позволяет красть учетную информацию пользователей из различных стран.
Первоначально TrickBot применяли лишь против пользователей из Австралии, но в апреле этого года хакеры начали использовать программу для атак на американские, британские, ирландские, канадские, немецкие, новозеландские, французские и швейцарские банки. В последнее время целью операторов TrickBot стали болгарские, индийские, нидерландские и сингапурские пользователи.
В июне экспертами из F5 Networks, PhishMe и PwC было обнаружено стремительное увеличение количества кибератак с применением TrickBot. В мае на долю TrickBot приходился 1% зафиксированных инциденте, а в июне уже 3%, что сделало данную программу восьмой по популярности среди банковского троянского ПО.
Распространение вредоносной программы осуществляется посредством спам-рассылки. Хакеры пользуются относительно новыми механизмами социальной инженерии, применявшимся ранее операторами вымогательской программы Jaff. В фишинговые письма вложен PDF-документ, который вынуждает пользователя открыть файл Word и активировать макросы для того, чтобы прочесть его содержимое.