Клиенты Santander Bank уже должны быть в курсе спам-атаки, рассылающей банкера Trickbot c доменов, имитирующих используемые банком адреса. Но исследователи из британской компании My Online Security и Института SANS Internet Storm Center констатируют, что Santander —  не единственный банк, чьи именем воспользовались авторы спам-рассылок, и что поддельные домены действительно очень легко спутать с настоящими.

Вот примеры поддельных доменов, рассылающих Trickbot: hsbcdocs.co.uk, hmrccommunication.co.uk, lloydsbacs.co.uk, nationalwidesecure.co.uk, natwestdocuments6.ml, santanderdocs.co.uk, santandersecuremessage.com и securenatwest .co.uk.

По словам исследователей, все домены были приобретены у GoDaddy. На данный момент некоторые домены уже не отвечают, но неизвестно, стало ли это результатом действий регистратора. «Почти все домены были зарегистрированы в GoDaddy, для чего использовались различные имена или услуга защиты контактных данных», — сказал Брэд Дункан (Brad Duncan), исследователь SANS ISC. «И эти домены были присвоены серверам, использующим HTTPS и полную проверку подлинности электронной почты. В результате получатели писем могли  быть введены в заблуждение, что могло привести к открытию вложенных в письмо файлов».

«Одно из сообщений, отправленное от имени Santander, было озаглавлено как «Вам письмо от службы безопасности Santander», к нему прикреплен файл под названием «SecureDoc.html», — отмечают представители My Online Security. В других случаях прикреплен файл был в формате Microsoft Office (Excel или Word), который требовал активирования макросов для прочтения, но вместо ожидаемой информации макрос загружал банкер Trickbot. Файлы в формате HTML, которые наблюдались в спам-рассылке на прошлой неделе, подгружают документы Microsoft Office с вредоносного сервера с помощью HTTPS, чтобы избежать сканирования, — уточнил Дункан.

Проанализированный в SANS ISC образец письма был замаскирован под именем банка Santander и содержал вложение в формате HTML, которое скачивало Word-документ с того же сервера, откуда было отправлено письмо. Word-документ включал в себя поддельное изображение страницы входа в онлайн-банкинг Santander и инструкции — что делать, если получатель не может войти в систему, и как для этого, активировать макрос через кнопку «Включить контент».

Дункан отметил, что проанализированный им Word-документ посылает HTTP-запрос к centromiosalud [.] es и PNG-файлу, который по факту является исполняемым файлом Windows. Иногда вредоносные программы загружаются с этого же домена, а иногда с cfigueras [.] com.

По словам Дункана, зловред создавал задачу в планировщике, чтобы обеспечить себе постоянное присутствие в системе. «Вредоносное ПО было расположено в папке с именем winapp в каталоге пользователя AppData \ Roaming».

Trickbot считается преемником зловреда Dyre (или Dyreza), который недавно был обнаружен исследовательской группой IBM X-Force совместно с исследователями из Flashpoint в спам-рассылках, распространяемых с ботнета Necurs. В последних версиях зловреда появился кастомный механизм редиректа. Trickbot известен тем, что выполняет атаки типа «man-in-the-browser», используя веб-инъекции в сервисы онлайн-банкинга с целью украсть учетные данные. Последние версии Trickbot используют веб-инъекции и для американских банков.

«Они используют адреса электронной почты и темы, которые пугают и побуждают получателей прочитать сообщение и открыть вложение», — прокомментировали в My Online Security. «Большая доля атак пришлась на предприятия малого и среднего бизнеса, что могло принести больше выгоды по сравнению с атаками на физических лиц». Исследователи добавили, что потребители, которые предпочитают работать с системами онлайн-банкинга на мобильном телефоне или планшете, особенно подвержены риску стать жертвами Trickbot, поскольку с таких устройств они не могут увидеть полный адрес домена отправителя, только лишь имя.

SANS ISC опубликовала список индикаторов заражения (Indicators of Compromise – IOC), а My Online Security настоятельно призывает пользователей, особенно тех, кто работает с более старыми версиями Microsoft Office, быть осторожными к такого рода письмам, ни при каких обстоятельствах на открывать вложения и не активировать макросы для просмотра их содержимого, плюс как можно скорее обновить программы Microsoft Office до последней версии.

Категории: Аналитика, Вредоносные программы