Исследователи безопасности зафиксировали всплеск атак с применением банковского трояна TrickBot. Если раньше киберпреступники ограничивались приложениями для online-банкинга, то теперь они также нацелились на пользователей PayPal и CRM-систем для бизнеса.
TrickBot – сравнительно новое вредоносное ПО, появившееся в сентябре 2016 года. Неофициально считается преемником банковского трояна Dyre, исчезнувшего с киберпреступной арены зимой 2015-2016 годов после обыска в одной из российских компаний. Однако вредонос является не просто видоизмененной версией Dyre. С момента выхода оригинальной версии его создатели регулярно обновляли и совершенствовали свой продукт, и вскоре TrickBot обзавелся поддержкой большего числа поддельных страниц авторизации, позволяющих похищать учетные данные пользователей из разных стран. В частности в него были добавлены страницы авторизации для 35 URL-адресов PayPal.
Изначально TrickBot использовался только в атаках на австралийских пользователей, однако в апреле 2017 года он стал применяться в атаках на банки в США, Великобритании, Германии, Ирландии, Канаде, Новой Зеландии, Швейцарии и Франции. В последних кампаниях троян также атаковал пользователей в Нидерландах, Сингапуре, Индии и Болгарии.
В июне эксперты из F5 Networks, PhishMe, и PwC, а также исследователь Брэд Данкан (Brad Duncan) зафиксировали стремительный рост атак с использованием трояна. Если месяц назад на его долю приходился 1% обнаруженных атак, то в июне этот показатель увеличился до 3%, сделав TrickBot восьмым по популярности банковским трояном.
Вредонос распространяется с помощью спам-писем. Злоумышленники используют сравнительно новые техники социальной инженерии, позаимствованные у операторов вымогательского ПО Jaff. Фишинговые письма содержат PDF-файл, вынуждающий жертву открыть Word-документ, и для того чтобы увидеть его содержимое, она должна активировать макросы.