22.03.2021

Операторы TrickBot использует «нарушения правил дорожного движения» для кибер-атак

Bitdefender > Новости > Операторы TrickBot использует «нарушения правил дорожного движения» для кибер-атак

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и ФБР выпустили совместный информационный бюллетень по кибербезопасности для TrickBot, в котором содержится предупреждение о том, что группа киберпреступников рассылает фишинговые электронные письма, якобы с доказательствами нарушений правил дорожного движения, чтобы заманить жертв в загрузку вредоносного ПО.

TrickBot — это модульный многоэтапный троян, который включает в себя полный набор инструментов для проведения кибератак. Вредоносная программа, основная цель которой – сбор конфиденциальных данных и учетных данных от жертв.

TrickBot содержит функции, предназначенные для горизонтального перемещения по скомпрометированным сетям и заражения других компьютеров. Эта способность делает TrickBot очень устойчивым к очистке, позволяя операторам программ-вымогателей сохранять устойчивость в целевой инфраструктуре и доставлять полезные данные на важные цели.

Во второй половине 2020 года работа TrickBot была частично нарушена, но оба агентства заметили возобновление усилий «изощренных» злоумышленников, использующих вредоносное ПО.

CISA и ФБР заявляют, что они наблюдали «продолжающийся таргетинг посредством целевых фишинговых кампаний с использованием вредоносного ПО TrickBot в Северной Америке», отмечая, что группа хакеров заманивает жертв с помощью фишинговой схемы нарушения трафика для загрузки трояна.

В сообщении говорится:

«CISA и ФБР осведомлены о недавних атаках, в которых используются фишинговые электронные письма, содержащие доказательства нарушения правил дорожного движения, для кражи конфиденциальной информации.

Фишинговые электронные письма содержат ссылки, которые перенаправляют на веб-сайт, размещенный на взломанном сервере, который побуждает жертву щелкнуть фотографию, подтверждающую нарушение правил дорожного движения.

Щелкая фотографию, жертва неосознанно загружает вредоносный файл JavaScript, который при открытии автоматически связывается с сервером управления и контроля злоумышленника, чтобы загрузить TrickBot в систему жертвы».

 

Злоумышленники обычно используют TrickBot для удаления других вредоносных программ, таких как программы-вымогатели Ryuk и Conti, или служат в качестве загрузчика Emotet.

Alert (AA21-076A) предлагает детальные технические подробности об использовании корпоративных технологий для установления начального доступа, обеспечения устойчивости, повышения привилегий, обхода защиты, обратного вызова в центр управления и контроля и эксфильтрации данных.

Также описаны методы MITER ATT & CK, а также список сигнатур для использования при обнаружении сетевой активности, связанной с атаками TrickBot.

Для защиты от TrickBot CISA и ФБР рекомендуют реализовать меры по снижению риска, описанные в рекомендации, которые включают блокировку подозрительных IP-адресов, использование антивирусного программного обеспечения и обучение сотрудников социальной инженерии и фишингу.

Новости
19.04.2021
Bitdefender осветил уникальные проблемы безопасности 2020 года
15.04.2021
Технология Anti-Exploit – основа безопасности облачных рабочих нагрузок
09.04.2021
Компаниям любого размера необходимо подготовиться к сложным постоянным угрозам