Банковский троян Trickbot охотится за данными клиентов крупнейших мировых компаний

Специалисты Check Point Research (CPR) представили новые подробности о распространении Trickbot. Операторы банковского трояна охотятся за личными данными клиентов известных компаний, в том числе Google, Microsoft, Amazon, PayPal и десятков других. По данным CPR, с ноября 2020 г. Trickbot заразил свыше 140 тыс. устройств по всему миру.

Trickbot – это сложное ПО с более чем 20 модулями, которые можно загружать и запускать по запросу. Его универсальная инфраструктура может использоваться различными семействами вредоносных программ и наносить большой ущерб зараженным устройствам. Операторы Trickbot кодируют и перемешивают тело вредоносной программы, чтобы затруднить ее анализ и удаление, – это свидетельствует о высоком уровне их технической подготовки.

Trickbot очень тщательно выбирает жертв, охотясь за конфиденциальной информацией пользователей на сайтах и в приложениях крупных сервисов. Его операторы покупают в даркнете базу данных с украденными адресами электронной почты и рассылают письма с вредоносными файлами, в которых содержатся URL-адреса с полезной нагрузкой Trickbot.

Когда пользователь скачивает и открывает такой документ, в процессе активируя макрос, запускается первая стадия атаки – на устройство загружается основная часть полезной нагрузки Trickbot. Затем вредоносный код запускается и закрепляется на устройстве. Далее злоумышленники могут установить вспомогательные модули, которые выполняют различные функции, например, распространяют вредоносные программы по зараженной корпоративной сети, крадут конфиденциальную корпоративную информацию и учетные данные для доступа к банковским сайтам и приложениям.

Украденная информация впоследствии может использоваться для получения доступа к сервисам крупных компаний, кражи денежных средств, продажи учетных данных, попыток использовать их для доступа к другим крупным ресурсам – то есть, всех видов злонамеренных действий, которые только могут прийти в голову киберпреступникам.

Процент организаций, затронутых Trickbot (чем темнее цвет, тем больше случаев заражения)

«Число заражений Trickbot поражает. На данный момент мы зарегистрировали более 140 тыс. заражений устройств с целью кражи данных клиентов многих крупных и уважаемых компаний по всему миру. Мы обратили внимание на то, что операторы Trickbot используют низкоуровневые языки программирования и продумывают код вплоть до мельчайших деталей, – говорит Александр Чайлытко, специалист по исследованиям и инновациям в области кибербезопасности в Check Point Software Technologies. – Атаки на пользователей крупных компаний позволяют операторам получить доступ к хранилищам конфиденциальных данных, используя которые они могут навредить еще сильнее. В то же время нам известно, что операторы инфраструктуры также имеют большой опыт разработки вредоносных программ из готовых модулей. Сочетание этих двух факторов и позволяет Trickbot оставаться опасной угрозой уже более пяти лет».

Стратегія охолодження ЦОД для епохи AI