Обнаружена спам-рассылка с банковским трояном TrickBot, которая распространяется со скоростью 150 000 писем в час, пишет «Хакер» c ссылкой на данные компании Cyren.
ИБ-эксперты из компании Cyren обнаружили новую волну распространения TrickBot. Вредоносную программу распространяют с помощью спам-рассылки. Операторы отправляют фишинговые сообщения от лица крупнейшего британского банка Lloyds Bank со скоростью более 75 000 писем за четверть часа.
Жертва получает письмо с вложением IncomingBACs.xlsm, которое содержит вредоносную программу. После заражения TrickBot работает на фоне, пока пользователь не зайдет на сайт Lloyds Bank, где он попадает на подложный ресурс с правильным URL и действительным SSL-сертификатом. Эксперты делают акцент на том, что увидеть подмену непросто: лишь внимательно изучив письмо, можно заметить, что адрес банка написан неверно: lloydsbacs.co.uk вместо lloydsbank.co.uk.
TrickBot — преемник банковской троянской программы Dyre. Вредоносная программа создана в сентябре 2016 и уже пережила несколько модификаций. TrickBot может красть учетную информацию пользователей из разных государств, благодаря тому, что использует много фальшивых страниц для авторизации. Хакеры используют программу для атак на банки по всему миру, а с недавнего времени TrickBot атакует пользователей PayPal и CRM-системы. Последние модификации вредоносной программы также крадут данные из Outlook и браузеров.
