TrickBot – новая спамовая атака на компании

TrickBot – новая спамовая атака на компании


2 ноября мы стали свидетелями новой спамовой кампании, в рамках которой на предприятия из Великобритании отправлялись электронные письма с вложенным документом Word. Каждое почтовое сообщение имело тему «Companies House – new company complaint», а вложенный вордовский документ имел название «Complaint.doc». Когда пользователи открывали этот файл, то вот что они видели:

Как работает TrickBot?

Если пользователь следует предлагаемым инструкциям, то будет выполнен макрос из данного документа. Он скачает файл под названием dododocdoc.exe, который будет сохранен в папку %temp% как sweezy.exe, а потом и выполнен. Данный файл – это вариант семейства вредоносных программ TrickBot. После запуска он установит себя на компьютер и внедрит dll в системный процесс svchost.exe. Оттуда он будет подключаться к C&C-серверу.

Эта кампания не была масштабной в глобальном смысле, но она была направлена только на компании из Великобритании. Сотни клиентов Panda Security получили такие письма, но все они были проактивно защищены, а потому им не пришлось предпринимать каких-либо дополнительных действий. Однако обращает на себя внимание четкая выборочность данной кампании, ибо домашние пользователи не рассматривались в качестве потенциальных жертв, а корпоративные пользователи в подавляющем большинстве представляли компании из Великобритании, хотя было зафиксировано 7 случаев в Испании, по одному – в Бельгии, Ирландии и Таиланде. Данная кампания была краткосрочной и прошла в период с 10:55am до 12:11pm (GMT).

Макрос использует PowerShell для выполнения вредоносной программы, что стало уже обычным явлением, т.к. эта техника становится все более популярной в последнее время, будучи используемой для осуществления атак шифровальщиками или даже для заражения PoS-терминалов .



Оригинал статьи: TrickBot, new spam campaign against companies


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
TrickBot спам кибератаки powershell антиспам
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.