Исследователи безопасности заметили всплеск атак с применением банковского трояна TrickBot. Если раньше киберпреступники ограничивались приложениями для online-банкинга, то теперь они нацелились на пользователей PayPal и CRM-систем для бизнеса.
TrickBot – относительно новое вредоносное ПО, датируемое сентябрем 2016 года. Неофициально считается преемником банковского трояна Dyre, исчезнувшего с “поля боя” зимой 2016 года после обыска в одной из российских компаний. Однако новый вредонос является не просто видоизмененной версией Dyre.
TrickBot имеет поддержку большего числа поддельных страниц авторизации, позволяющих похищать учетные данные пользователей из разных стран. В частности, в него были добавлены страницы авторизации для 35 URL-адресов PayPal.
Изначально TrickBot применялся для атак на австралийских пользователей, однако в апреле 2017 года он стал применяться в атаках на банки в США, Великобритании, Германии, Ирландии, Канаде, Новой Зеландии, Швейцарии и Франции. В последних кампаниях троян также атаковал пользователей в Нидерландах, Сингапуре, Индии и Болгарии.
В июне эксперты из F5 Networks, PhishMe, и PwC, а также исследователь Брэд Данкан отметили стремительный рост атак с использованием трояна. Если месяц в общем числе обнаруженных атак он занимал 1%, то в июне этот показатель увеличился до 3%.
Распространяется вредонос с помощью спам-писем. Они содержат PDF-файл, вынуждающий жертву открыть Word-документ и активировать макросы, чтобы увидеть его содержимое.
Источник http://www.securitylab.ru/
