Злоумышленники, которые стоят за ботнетом Trickbot, отправляли пользователям Slack и BaseCamp фишинговые сообщения, которые содержали малварь, как сообщает Sophos.
По словам исследователя, кампания впервые появилась в январе.
Вредоносные сообщения содержали ссылки на малварь, которая хранилась на сервисах облачного хранилища и предоставляла инструменты для совместной работы (напр., Slack).
Эксперт сообщил, что в сообщениях также были указаны имя получателя и имя его работодателя – так злоумышленники пытались убедить людей скачать и запустить полезную загрузку. Как только жертва открывала документ, компьютер быстро заражал BazarLoader, который обычно ведет себя как загрузчик для других малварей.
Sophos также обнаружили другую кампанию тех же злоумышленников, которая называется «BazarCall». В сообщении говорится, что бесплатный пробный период заканчивается и получателю нужно позвонить, чтоб не платить за продление. Те, кто позвонил, получали URL и инструкцию по посещению сайта, где они могут отписаться.