Вирус Trickbot начинал как банковский троян и постепенно превратился в один из самых могущественных хакерских инструментов для киберпреступников со всего мира. Этот зловред крадет данные из компьютерных систем, а также используется как средство для доставки других вредоносных программ, например, вымогателей.
ФБР и ЦРУ выпустили совместное заявление, в котором предупреждают о новой фишинговой атаке с применением Trickbot, сообщает портал ZDNet. Мошенники используют новую эффективную тактику, позволяющую увеличить количество зараженных Trickbot компьютеров — пользователю приходит письмо, в котором говорится, что он нарушил правила дорожного движения.
Напуганная жертва открывает письмо, чтобы узнать, что именно она нарушила. Внутри письма находится ссылка, которая ведет на скомпрометированный киберпреступниками сервер.
Пользователю предлагается кликнуть на фото, чтобы увидеть подтверждение совершенного им правонарушения, после чего на компьютер устанавливается JavaScript-файл, с помощью которого Trickbot проникает в систему.
Новая схема наглядно демонстрирует, как киберпреступники постоянно расширяют свой инструментарий, чтобы заражать как можно больше пользователей. Ситуацию осложняет и сам Trickbot, который называют одним из самых коварных из ныне существующих вирусов.
«Trickbot оказался одним из крупнейших и самым живучим ботнетом. Данное вредоносное ПО крадет учетные данные и активно применяется во всем мире. Целевые URL-адреса часто принадлежат финансовым учреждениям, после компрометации которых мошенники осуществляют незаконные денежные переводы», — пояснил «Газете.Ru» руководитель отдела исследований угроз ESET Жан-Ян Бутин.
«У меня нет на руках конкретных примеров фишинговых писем именно с сообщениями о «штрафах» в России и СНГ, но эти атаки не исключены», — предупреждает Алексей Белоглазов, технический эксперт по защите от кибератак в Восточной Европе и на Ближнем Востоке Check Point Software Technologies.
По словам эксперта, в целом тематика фишинга и вредоносных рассылок может быть самой разной: уведомления от телеком-операторов о задолженности или счета на оплату сервиса, от системы аудио-почты — об аудиосообщении, фейковые резюме соискателей, разнообразные предложения о сотрудничестве, уведомления якобы от ИТ- и ИБ-систем о необходимости подтвердить учетную запись или очистить переполненный почтовый ящик и многие другие.
«Такие фишинговые письма хорошо подготовлены и учитывают специфику бизнеса компании-жертвы. Например, были случаи рассылки уведомлений об атаках на банки, якобы от ФинЦЕРТа, когда вложение, описывающее атаку и индикаторы компрометации, оказалось вредоносным документом», — рассказывает Белоглазов.
По данным Check Point, в феврале 2021 года Trickbot вырвался на первое место среди самых активных вредоносных программ — на его долю пришлось 3% от всех кибератак, совершенных против организаций.
В атаках на российские компании Trickbot также довольно успешен, регулярно занимая верхние строчки в списке самых распространенных киберугроз в России.
Распространение вредоносного ПО с помощью фишинговых рассылок – довольно стандартная история, сообщил главный эксперт «Лаборатории Касперского» Сергей Голованов.
«В сообщениях о фальшивых штрафах, в том числе автомобильных, в России распространялись шифровальщики и банковские троянцы. Также такие письма могли содержать ссылки на оплату штрафа якобы с 50% скидкой, если пользователь переходил на поддельный сайт и переводил деньги, то они уходили на счета злоумышленников», — заявил Голованов.
«О волне атак в России с использованием указанного вируса нам пока не доводилось слышать, — рассказывает Екатерина Рудая, эксперт лаборатории практического анализа защищенности Центра информационной безопасности компании «Инфосистемы Джет». — Возможно, это связано с тем, что атака является скоординированной и направлена на конкретные регионы, которые интересны злоумышленникам. Поддержка целой инфраструктуры для проведения атак требует компетенций и больших вложений, что исключает возможность получения доступа к вирусу обычных «скрипткидди»».
При этом в России подставное письмо от ГИБДД с фишинговой ссылкой может прийти каждому, предупреждает Рудая. Такое письмо может содержать ссылку на страницу, ворующую персональные данные или данные карт при вводе.
«Поэтому, чтобы избежать кражи данных, рекомендую проверять адрес отправителя при получении писем и адреса сайтов, на которых вы вводите свои личные данные», — рекомендует собеседница «Газеты.Ru».
Маргарита Герасюкова