2 ноября мы стали свидетелями новой спамовой кампании, в рамках которой в компании из Великобритании отправлялись электронные письма с вложенным документом Word. Каждое почтовое сообщение имело тему «Companies House – new company complaint», а вложенный вордовский документ был с названием «Complaint.doc». Когда пользователи открывали этот файл, то вот что они видели:
Как работает TrickBot?
Если пользователь следует предлагаемым инструкциям, то будет выполнен макрос из данного документа. Он скачает файл под названием dododocdoc.exe, который будет сохранен в папку %temp% как sweezy.exe, а потом и выполнен. Данный файл – это вариант семейства вредоносных программ TrickBot. После запуска он установит себя на компьютер и внедрит dll в системный процесс svchost.exe. Оттуда он будет подключаться к C&C-серверу.
Эта кампания не была масштабной в глобальном смысле, но она была направлена только на компании из Великобритании. Сотни клиентов Panda Security получили такие письма, но все они были проактивно защищены, а потому им не пришлось предпринимать каких-либо дополнительных действий. Однако обращает на себя внимание четкая выборочность данной кампании, ибо домашние пользователи не рассматривались в качестве потенциальных жертв, а корпоративные пользователи в подавляющем большинстве представляли компании из Великобритании, хотя было зафиксировано 7 случаев в Испании, по одному – в Бельгии, Ирландии и Таиланде. Данная кампания была краткосрочной и прошла в период с 10:55am до 12:11pm (GMT).
Макрос использует PowerShell для выполнения вредоносной программы, что стало уже обычным явлением, т.к. эта техника становится все более популярной в последнее время, будучи используемой для осуществления атак шифровальщиками или даже для заражения PoS-терминалов.
