______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

TrickBot обходил почтовые фильтры с помощью Google Docs

ИБ-исследователи из компании Cofense обнаружили фишинговую кампанию, в рамках которой злоумышленники рассылают банковский троян TrickBot через Google Docs, обходя почтовые фильтры.

Для этого мошенники создали в онлайн-редакторе страницу, содержащую поддельное сообщение об ошибке 404 и призыв перейти по ссылке для загрузки файла. В сообщении, отправленном через легитимный инструмент «Поделиться по  TrickBot », они уточняли у адресата, получил ли тот документы, и призывали перейти на фишинговую страницу для загрузки файла.

Если получатель не распознавал фишинговую атаку, то попадал на импровизированный лендинг с вредоносной ссылкой. Перейдя по ней, вместо обещанного документа жертва скачивала исполняемые файлы TrickBot, замаскированные под PDF-документ.

Попав на устройство, зловред добавлял свои копии в папки C:\ProgramData и C:\Users\REM\AppData\Roaming\speedLan, а также создавал в Планировщике задач задание по запуску дубликатов каждые 11 минут и при загрузке ОС. Помимо того, троян внедрялся в память процесса svchost.exe.

В июле этого года TrickBot, изначально нацеленный на кражу финансовой информации, получил модуль для сбора учетных данных электронной почты и контактов пользователей, а также для рассылки вредоносного спама с адресов жертв.

Злоумышленники не впервые используют легитимные сервисы Google в ходе фишинговых атак. Похожую кампанию эксперты обнаружили в середине августа, когда преступники использовали Google Drive для обхода защитных систем и заманивания жертв на вредоносные страницы.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх