Malware zagnieżdżone jest na stronie internetowej przypominającej serwis Office 365. Po przejściu na witrynę w oknie przeglądarki wyskakuje powiadomienie o nowej aktualizacji dla przeglądarki internetowej. Cyberprzestępcy przygotowali różne warianty powiadomienia, w zależności od tego z jakiej aplikacji korzysta ofiara.
https://get-office365[.]live/ -> https://get-office365[.]live/files/upd365_58v01.exe (fd97342e1968aed9d8f50468d3b7b7868981d9d360b2f049b6706e72d8184e3f – TrickBot looks)
Sectigo cert for the domain, DigiCert cert for payload (see thread: https://t.co/4bfybAGQaO)…
cc @VK_Intel pic.twitter.com/moxdgx9Vdp— MalwareHunterTeam (@malwrhunterteam) July 17, 2019
Oczywiście osoby w pełni świadomie korzystające ze swoich komputerów wiedzą, że aktualizacje przeglądarek internetowych Firefox i Google Chrome dokonują się w tle i bez ich udziału. Komunikat z wielkim napisem Chrome Update Center lub Firefox Update Center z miejsca wzbudzi ich podejrzenia. Mniej zaawansowani użytkownicy mogą jednak kliknąć w całkiem niepozornie i prawdziwie wyglądający baner.
Od razu po kliknięciu przycisku „Update” w systemie instalowany jest trojan TrickBot. Ten od razu rozpoczyna wyszukiwanie haseł zmagazynowanych na komputerze, historii przeglądania i danych autouzupełniania. Wszystkie skradzione informacje są wysyłane na serwer zewnętrzny.
TrickBot jest niezwykle trudny do ręcznego wykrycia, gdyż kamufluje się jako proces systemowy. Większość dobrych antywirusów powinna sobie jednak z nim poradzić. Możecie zobaczyć nasze zestawienie 10 najlepszych darmowych programów antywirusowych i wybrać do ochrony swojego komputera coś z tej puli.
Źródło: MalwareHunterTeam