Постоянно развивающийся троян Trickbot никогда не уйдет от возможности удивить аналитиков безопасности. На этот раз вредоносная программа прошла через шлюз Proofpoint, используя Google Docs ссылку.
Как это работает?
По словам исследователей из Cofense, субъекты угрозы, стоящие за фишинговой кампанией, предоставили Trickbot, встроенный в ссылку на Google Docs. Так как Google Docs является доверенным и легитимным приложением, оно упростило работу субъектов угроз, чтобы обойти почтовый шлюз и заманить пользователей, чтобы они щелкнули ссылку.
Чтобы вызвать любопытство среди получателей, электронное письмо сопровождается сообщением: «Вы уже получили документацию, которую я недавно направил вам? Я отправляю их снова».
Как только жертвы нажимают на ссылку, они перенаправляются на подлинную страницу Документов Google, которая содержит поддельное сообщение об ошибке 404 и другую встроенную ссылку. Затем получателя обманывают возможностью вручную загрузить документ по ссылке, которая фактически загружает вредоносный файл. Это зловред загружается в виде файла PDF на компьютеры жертв.
Что происходит дальше?
Как только файл запущен, он создает свою копию в C: \ ProgramData, где он берет на себя управление вредоносной программой. Кроме того, он создает еще одну копию в «C: \ Users \ REM \ AppData \ Roaming \ speedLan», которая также содержит файл конфигурации для Trickbot.
Троянец также устанавливает задачу, запускающую вредоносный файл из папки «Speedlan». Воспользовавшись вкладкой «Триггеры», исследователи отмечают, что «конкретная версия Trickbot была настроена запускаться каждые 11 минут в течение 596843 минут своей работы».