Старый бот, новые трюки.
Было замечено, что TrickBot, широко распространенное в финансовом отношении вредоносное ПО, заражает компьютеры жертв для кражи паролей электронной почты и адресных книг, чтобы распространять вредоносную электронную почту с их скомпрометированных учетных записей электронной почты.
Вредоносная программа TrickBot была впервые обнаружена в 2016 году, но с тех пор она разработала новые возможности и методы для распространения и вторжения в компьютеры, пытаясь получить пароли и учетные данные – в конечном итоге с целью кражи денег. Он легко адаптируется и модульный, что позволяет его создателям добавлять новые компоненты. В последние несколько месяцев это адаптирован к налоговому сезону попытаться украсть налоговые документы для мошеннических возвратов. Совсем недавно вредоносная программа получил кражу печенья возможности, позволяющие злоумышленникам войти в систему в качестве своих жертв, не требуя своих паролей.
Благодаря новым возможностям рассылки спама вредоносное ПО, которое исследователи называют «TrickBooster», отправляет вредоносное ПО из учетной записи жертвы, а затем удаляет отправленные сообщения из папок «Исходящие» и «Отправленные», чтобы избежать обнаружения.
Исследователи в фирме кибербезопасности Глубокий инстинкт, которые обнаружили серверы, на которых запущена кампания по рассылке вредоносных программ, говорят, что у них есть доказательства того, что вредоносная программа собрала более 250 миллионов адресов электронной почты на сегодняшний день. Исследователи говорят, что помимо огромного количества учетных записей Gmail, Yahoo и Hotmail, несколько правительственных департаментов США и других иностранных правительств, таких как Великобритания и Канада, получили электронные письма и учетные данные, собранные вредоносным ПО.
«Исходя из затронутых организаций, имеет смысл иметь как можно более широкое распространение и собирать как можно больше электронных писем», – сказал TechCrunch Гай Каспи, исполнительный директор Deep Instinct. «Если бы я приземлился в конечной точке в государственном департаменте США, я бы попытался распространить как можно больше и собрать любой адрес или возможные учетные данные».
Если компьютер жертвы уже заражен TrickBot, он может загрузить подписанный сертификатом компонент TrickBooster, который отправляет списки адресов электронной почты и адресных книг жертвы обратно на главный сервер, а затем начинает рассылку спама с компьютера жертвы.
По словам Каспи, вредоносная программа использует поддельные сертификаты для подписи компонента, чтобы помочь избежать обнаружения. По его словам, многие из сертификатов были выданы от имени законных предприятий, которым не нужно подписывать код, например, фирмы по отоплению или сантехнике.
Исследователи впервые заметили TrickBooster 25 июня, а неделю спустя они сообщили об этом органам по выдаче сертификатов, которые отозвали сертификаты, что усложнило работу вредоносного ПО.
После определения командных и управляющих серверов исследователи получили и загрузили кеш 250 миллионов электронных писем. Каспи сказал, что сервер не защищен, но «труден для доступа и связи» из-за проблем с подключением.
Исследователи охарактеризовали TrickBooster как «мощное дополнение к обширному арсеналу инструментов TrickBot», учитывая его способность скрытно двигаться и избегать обнаружения большинством поставщиков антивирусных программ.