Троян TrickBot атакует пользователей PayPal и CRM-систем

image

Теги: троян, вредоносное ПО, банковский троян, PayPal

С момента выхода TrickBot регулярно обновляется и совершенствуется.

Исследователи безопасности зафиксировали всплеск атак с применением банковского трояна TrickBot. Если раньше киберпреступники ограничивались приложениями для online-банкинга, то теперь они также нацелились на пользователей PayPal и CRM-систем для бизнеса.

TrickBot – сравнительно новое вредоносное ПО, появившееся в сентябре 2016 года. Неофициально считается преемником банковского трояна Dyre, исчезнувшего с киберпреступной арены зимой 2015-2016 годов после обыска в одной из российских компаний. Однако вредонос является не просто видоизмененной версией Dyre. С момента выхода оригинальной версии его создатели регулярно обновляли и совершенствовали свой продукт, и вскоре TrickBot обзавелся поддержкой большего числа поддельных страниц авторизации, позволяющих похищать учетные данные пользователей из разных стран. В частности в него были добавлены страницы авторизации для 35 URL-адресов PayPal.

Изначально TrickBot использовался только в атаках на австралийских пользователей, однако в апреле 2017 года он стал применяться в атаках на банки в США, Великобритании, Германии, Ирландии, Канаде, Новой Зеландии, Швейцарии и Франции. В последних кампаниях троян также атаковал пользователей в Нидерландах, Сингапуре, Индии и Болгарии.

В июне эксперты из F5 Networks , PhishMe , и PwC , а также исследователь Брэд Данкан (Brad Duncan) зафиксировали стремительный рост атак с использованием трояна. Если месяц назад на его долю приходился 1% обнаруженных атак, то в июне этот показатель увеличился до 3%, сделав TrickBot восьмым по популярности банковским трояном.

Вредонос распространяется с помощью спам-писем. Злоумышленники используют сравнительно новые техники социальной инженерии, позаимствованные у операторов вымогательского ПО Jaff. Фишинговые письма содержат PDF-файл, вынуждающий жертву открыть Word-документ, и для того чтобы увидеть его содержимое, она должна активировать макросы.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.