Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и ФБР выпустили совместный информационный бюллетень по кибербезопасности для TrickBot, в котором содержится предупреждение о том, что группа киберпреступников рассылает фишинговые электронные письма, якобы с доказательствами нарушений правил дорожного движения, чтобы заманить жертв в загрузку вредоносного ПО.
TrickBot — это модульный многоэтапный троян, который включает в себя полный набор инструментов для проведения кибератак. Вредоносная программа, основная цель которой – сбор конфиденциальных данных и учетных данных от жертв.
TrickBot содержит функции, предназначенные для горизонтального перемещения по скомпрометированным сетям и заражения других компьютеров. Эта способность делает TrickBot очень устойчивым к очистке, позволяя операторам программ-вымогателей сохранять устойчивость в целевой инфраструктуре и доставлять полезные данные на важные цели.
Во второй половине 2020 года работа TrickBot была частично нарушена, но оба агентства заметили возобновление усилий «изощренных» злоумышленников, использующих вредоносное ПО.
CISA и ФБР заявляют, что они наблюдали «продолжающийся таргетинг посредством целевых фишинговых кампаний с использованием вредоносного ПО TrickBot в Северной Америке», отмечая, что группа хакеров заманивает жертв с помощью фишинговой схемы нарушения трафика для загрузки трояна.
В сообщении говорится:
«CISA и ФБР осведомлены о недавних атаках, в которых используются фишинговые электронные письма, содержащие доказательства нарушения правил дорожного движения, для кражи конфиденциальной информации.
Фишинговые электронные письма содержат ссылки, которые перенаправляют на веб-сайт, размещенный на взломанном сервере, который побуждает жертву щелкнуть фотографию, подтверждающую нарушение правил дорожного движения.
Щелкая фотографию, жертва неосознанно загружает вредоносный файл JavaScript, который при открытии автоматически связывается с сервером управления и контроля злоумышленника, чтобы загрузить TrickBot в систему жертвы».
Злоумышленники обычно используют TrickBot для удаления других вредоносных программ, таких как программы-вымогатели Ryuk и Conti, или служат в качестве загрузчика Emotet.
Alert (AA21-076A) предлагает детальные технические подробности об использовании корпоративных технологий для установления начального доступа, обеспечения устойчивости, повышения привилегий, обхода защиты, обратного вызова в центр управления и контроля и эксфильтрации данных.
Также описаны методы MITER ATT & CK, а также список сигнатур для использования при обнаружении сетевой активности, связанной с атаками TrickBot.
Для защиты от TrickBot CISA и ФБР рекомендуют реализовать меры по снижению риска, описанные в рекомендации, которые включают блокировку подозрительных IP-адресов, использование антивирусного программного обеспечения и обучение сотрудников социальной инженерии и фишингу.