Trickbot ponownie atakuje: nowa, ulepszona wersja wirusa bankowego

O trojanie bankowym Trickbot zrobiło się głośno w ubiegłym roku – teraz, jak się dowiadujemy za sprawą organizacji zajmującej się cyberbezpieczeństwem Cyren, światło dzienne ujrzała nowa, bardziej dopracowana wersja wirusa. Atakuje póki co użytkowników z USA, Wielkiej Brytanii i Australii, jednak nie wykluczone iż już niedługo zaatakuje kolejne kraje.

Mechanizm infekowania pozostał taki sam – rozsyła fałszywe e-maile, licząc na brak wiedzy lub nieroztropność ofiary. Podobno mechanizm spamujący jest w stanie wysłać aż 75 tys maili w ciągu 25 minut. Metoda ta jest nam już doskonale znana, dlatego autorzy postanowili się nieco bardziej wysilić.

Udając Lloyd Bank wysyłają wiadomość e-mail informując o nadchodzącej płatności BACs (jest to system pozwalający przesyłać pieniądze z jednego adresu e-mail na drugi) i aby ją odebrać, należy pobrać załącznik i go zatwierdzić. Podrobiona wiadomość wygląda bardzo realistycznie (dodatkowo stworzona została imitacja szyfrowań i zabezpieczeń, co ma uśpić czujność), dlatego nieświadomi użytkownicy mogą się na nią nabrać. Zwróćcie jednak uwagę na adres mailowy wysyłający tego maila – zamiast lloydsbank, mamy lloydbacs.  Na tym etapie szukanie ofiary nie różni się od zwykłych ataków phishingowych.

Po pobraniu załącznika i otworzeniu go w Excelu, jesteśmy proszeni przez program o zgodę na edycję makr – w tym momencie komputer jest infekowany. Następnie, wirus czeka, aż użytkownik wpisze w przeglądarce  adres URL swojego banku i podmienia stronę na prawie identyczną, lecz fałszywą – co ciekawe, nadal z poprawnym adresem i szyfrowaniem SSL. Jak twierdzi Cyren, sztuczka taka jest możliwa dzięki manipulacjach w kodzie HTML i JavaScript. Dalej, jak już się domyślacie – po wpisaniu loginu i hasła, konto bankowe przechodzi w posiadanie przestępców.

W sposób cichy, pozornie bezpieczny (tylko adres e-mail nadchodzącej wiadomości jest ewidentnie fałszywy!), można stracić swoje oszczędności.

Należy pamiętać, aby w takich sytuacjach zachowywać szczególną ostrożność i dokładnie sprawdzać wiadomości jakie otrzymujemy – analizować adres e-mail, doszukiwać się drobnych błędów i nie otwierać załączników niewiadomego pochodzenia. Kilka lat temu popularną metodą przechwytywania kont, było podrabianie e-maili bankowych z prośbą o podanie loginu i hasła, dziś, jak widać – wystarczy odrobina kreatywności.