Ранее мы уже рассказывали о банкере TrickBot, который известен специалистам с 2016 года и считается, что его «прародителем» выступил другой известный банковский вредонос, Dyre. Согласно последней информации от ИБ-специалистов, помимо банковских приложений TrickBot атакует пользователей PayPal и различные CRM-системы, кроме того, малварь недавно научилась похищать данные из Outlook и браузеров, а разработчики вредоноса экспериментируют с эксплоитом EternalBlue, с помощью которого распространялись WannaCry и NotPetya.

Хотя функции саморазмножения и эксплоиты, подобные EternalBlue, это определенно перспективное направление для злоумышленников, основным вектором распространения TrickBot по-прежнему остается спам. Так, специалисты компании Cyren сообщают, что им удалось зафиксировать новую спамерскую кампанию. Теперь операторы малвари маскируют свои письма под сообщения от одного из крупнейших британских банков, Lloyds Bank, и рассылают спам со скоростью более 75 000 сообщений за 25 минут.

Банкер TrickBot распространяется со скоростью 150 000 спамерских писем в час

Такие письма содержат вложенный файл IncomingBACs.xlsm, после запуска которого пользователя попросят разрешить работу макросов. Равно как и во многих других вредоносных кампаниях, это разрешение приведет лишь к загрузке и установке на компьютер малвари.

Заразив систему, TrickBot работает на фоне и терпеливо ждет, когда пользователь посетит сайт банка. Когда это наконец происходит, троян переадресует свою жертву на фальшивый сайт, который с первого взгляда сложно отличить от настоящего сайта Lloyds. Используя HTML и JavaScript, атакующие показывают жертве верный URL, а также ресурс даже имеет действительный SSL-сертификат.

Банкер TrickBot распространяется со скоростью 150 000 спамерских писем в час

Исследователи Cyren подчеркивают, что заподозрить подмену очень трудно. Заметить нечто странное можно лишь внимательно присмотревшись к фишинговому письму, адрес банка там написан с «ошибкой»: lloydsbacs.co.uk вместо lloydsbank.co.uk. Этот домен размещается на голландском IP-адресе и является известным источником спама.

Банкер TrickBot распространяется со скоростью 150 000 спамерских писем в час

Специалисты в очередной раз предупреждают, что TrickBot меняется почти каждый день, список целей малвари пополняется все новыми и новыми банками из разных стран мира. Исследователи призывают пользователей и специалистов банков не терять бдительность.