Лоуренс Абрамс
- 11 декабря 2020 г.
- 8:41 утра
В настоящее время идет масштабная фишинговая кампания под видом подтверждения заказа в метро, распространяющая печально известное вредоносное ПО TrickBot.
TrickBot. это троянская вредоносная программа, которая обычно распространяется через фишинговые кампании или устанавливается другим вредоносным ПО.
После установки TrickBot выполняет различные вредоносные действия, включая распространение по сети, кражу сохраненных учетных данных в браузерах, кражу баз данных служб Active Directory, кражу файлов cookie и ключей OpenSSH, кражу учетных данных RDP, VNC и PuTTY и многое другое.
Хуже того, TrickBot сотрудничает с операторами программ-вымогателей, такими как Ryuk, чтобы получить доступ к взломанной сети для развертывания программ-вымогателей.
Фишинговая кампания Subway очень нацелена
Сегодня BleepingComputer был предупрежден о новой фишинговой кампании под видом подтверждения заказов в метро, нацеленной на людей из Великобритании.
В этих фишинговых письмах беспокоит то, что они включают имя пользователя, и некоторые пользователи сообщают, что они отправляются на электронные письма, используемые только для Subway. Эта атака может указывать на утечку данных в Subway UK, которая позволила злоумышленникам получить доступ к именам клиентов и адресам электронной почты.
В заявлении для BleeingComputer Subway заявила, что расследует нарушение работы своей системы.
«Нам известно о некоторых сбоях в работе наших систем электронной почты, и мы понимаем, что некоторые из наших гостей получили несанкционированное электронное письмо. В настоящее время мы расследуем этот вопрос и приносим извинения за любые неудобства. Как только у нас появится дополнительная информация, мы свяжемся с вами, пока затем, в качестве меры предосторожности, мы советуем гостям удалить письмо «. сказал Subway в заявлении BleepingComputer.
В фишинговых письмах Subway используются такие темы, как «Ваш заказ обрабатывается» и «Мы получили ваш заказ», и указывается, что он от Subcard ([email protected]), как показано ниже.
Эти электронные письма выглядят странно, поскольку они говорят пользователю нажимать на различные ссылки, поскольку их «документы заказа готовы и ожидают подтверждения». Похоже, чтобы заказать бутерброд, придется потрудиться.
Эти ссылки ведут на различные взломанные веб-сайты, при нажатии на которые вы попадете на фишинговую страницу FreshBooks. При нажатии на любую из ссылок на этой целевой странице будет загружена таблица Excel.
В зависимости от варианта полученного вами фишингового письма электронная таблица Excel может быть защищена паролем. После ввода пароля будет отображено поддельное и вредоносное фишинговое вложение DocuSign. В этом документе говорится, что при предварительном просмотре документа возникла проблема, и вам нужно нажать «Разрешить редактирование» и «Разрешить содержимое», чтобы просмотреть его.
Если получатель разрешает контент, он также включает вредоносные макросы, встроенные в электронную таблицу Excel, которые загружают и устанавливают последнюю версию вредоносного ПО TrickBot.
Загруженная вредоносная программа TrickBot представляет собой DLL [VirusTotal], которая будет внедрена в легитимный исполняемый файл Windows wermgr.exe (Windows Problem Reporting) непосредственно из памяти с использованием кода из проекта MemoryModule.
При запуске в Wermgr.exe он может избежать обнаружения программным обеспечением безопасности и будет выглядеть как законный процесс в диспетчере задач.
Если вы получили это электронное письмо и случайно загрузили и открыли вредоносный документ, убедитесь, что вы выполнили тщательное сканирование своего компьютера с помощью антивирусного программного обеспечения и очистили все обнаруженное.
