Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Операторы Trickbot рассылают фишинговые письма от имени Microsoft, Amazon и PayPal

18/02/22

trickbot-1

Операторы вредоносного ПО Trickbot организовали фишинговые атаки на клиентов 60 крупных организаций, многие из которых размещены в США. Новую вредоносную кампания зафиксировали специалисты из ИБ-компании Check Point Research.

Операторы TrickBot в ходе атак используют известные бренды, в том числе Bank of America, Wells Fargo, Microsoft, Amazon, PayPal, American Express, Robinhood, Blockchain.com и Федеральный кредитный союз ВМС США (NFCU).

Исследователи предоставили технические подробности о трех ключевых модулях TrickBot (из примерно 20), которые вредонос использовал в данных атаках.

Первым является injectDll — модуль внедрения web-команд, который может скомпрометировать сеанс браузера. Модуль может внедрять JavaScript-код в браузер для выполнения кражи банковских и учетных данных, например, путем перенаправления жертв на вредоносные страницы, замаскированные под легитимные крупные компании. Кроме того, формат web-вставки модуля использует небольшую полезную нагрузку, которая обфусцируется с целью предотвратить обнаружение.

Модуль TabDLL осуществляет кражу информации на протяжении пяти этапов. Вредоносный код открывает память приложения LSASS для хранения украденных данных, внедряет код в explorer.exe, а затем заставляет жертву вводить учетные данные для входа в систему, прежде чем заблокировать ее в сеансе. Затем учетные данные похищаются и удаляются из LSASS с помощью инструмента Mimikatz, а затем отправляются на командный сервер злоумышленников. Модуль также может использовать эксплоит EternalRomance для распространения Trickbot по сетям SMBv1.

Третий модуль — pwgrabc, предназначенный для кражи учетных данных из приложений, включая браузеры Google Chrome, Microsoft Edge, Mozilla Firefox и Internet Explorer, Microsoft Outlook, FileZilla, TeamViewer, Git и OpenSSH.

Темы:ПреступленияCheck PointфишингTrickbot
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...