Троян Trickbot уклоняется от шлюза Proofpoint, используя Google Docs

Постоянно развивающийся троян Trickbot никогда не уйдет от возможности удивить аналитиков безопасности. На этот раз вредоносная программа прошла через шлюз Proofpoint, используя Google Docs ссылку.

Троян Trickbot уклоняется от шлюза Proofpoint, используя Google Docs

Как это работает?

По словам исследователей из Cofense, субъекты угрозы, стоящие за фишинговой кампанией, предоставили Trickbot, встроенный в ссылку на Google Docs. Так как Google Docs является доверенным и легитимным приложением, оно упростило работу субъектов угроз, чтобы обойти почтовый шлюз и заманить пользователей, чтобы они щелкнули ссылку.

Чтобы вызвать любопытство среди получателей, электронное письмо сопровождается сообщением: «Вы уже получили документацию, которую я недавно направил вам? Я отправляю их снова».

Как только жертвы нажимают на ссылку, они перенаправляются на подлинную страницу Документов Google, которая содержит поддельное сообщение об ошибке 404 и другую встроенную ссылку. Затем получателя обманывают возможностью вручную загрузить документ по ссылке, которая фактически загружает вредоносный файл. Это зловред загружается в виде файла PDF на компьютеры жертв.

«Как только вы переходите по URL-адресу, который ссылается на файл, размещенный на диске Google, он загружает файл Review_Rep.19.PDF.exe, который маскируется под файл PDF. Многие получатели не заметят расширение файла .exe. Это то, что им нужно, что бы специально включить в Windows свой троян. Файл выглядит как обычный PDF-файл, поскольку злоумышленник использует даже значок PDF-файла », — добавили исследователи.

Что происходит дальше?

Как только файл запущен, он создает свою копию в C: \ ProgramData, где он берет на себя управление вредоносной программой. Кроме того, он создает еще одну копию в «C: \ Users \ REM \ AppData \ Roaming \ speedLan», которая также содержит файл конфигурации для Trickbot.

Троянец также устанавливает задачу, запускающую вредоносный файл из папки «Speedlan». Воспользовавшись вкладкой «Триггеры», исследователи отмечают, что «конкретная версия Trickbot была настроена запускаться каждые 11 минут в течение 596843 минут своей работы».

Чтобы оставаться защищенным и сохранить свои конфиденциальные данные — скачайте RusVPN для своих мобильных и десктопных устройств уже сейчас!