Киберпреступники используют ссылки с переадресацией, чтобы обмануть жертву и загрузить на ее компьютер модульный троян Trickbot. К такому выводу пришли ИБ-специалисты после изучения спам-рассылок, маскирующихся под сообщения об отправке товара из интернет-магазина. Злоумышленники прикрываются легитимными доменами, чтобы обойти фильтры безопасности и доставить полезную нагрузку на устройство получателя.

Вредоносная ссылка содержится в письме, имитирующем стандартное сообщение об отправке заказа. Оно выглядит довольно убедительно: стиль подачи информации соответствует подобным документам, в послании есть номер для трекинга посылки, сроки доставки и даже иконки соцсетей.

Чтобы запутать получателя, киберпреступники воспользовались функцией переадресации Google. Ссылка в письме выглядит как hxxps://google[.]dm:443/url?q=<адрес целевого сайта> и служит для перенаправления жертвы на этот адрес. Однако и пользователь, и спам-фильтры видят домен Google и считают URL легитимным.

При переходе по ссылке жертве показывается предупреждение о переадресации. Если пользователь ничего не заподозрит и откроет вредоносный сайт, он увидит фальшивую страницу просмотра заказа. Эта страница содержит скрипт для фоновой загрузки зловреда Trickbot.

Опасный троян в зависимости от состава подключенных к нему модулей может быть использован для кражи паролей, данных банковских карт и сведений для доступа к криптокошелькам. Вредоносную программу впервые обнаружили осенью 2016 года, и с тех пор авторы регулярно добавляют в нее новые функции.

Так, в апреле прошлого года ИБ-специалисты обнаружили в дикой природе вариант трояна, блокирующий экран зараженного устройства. Эксперты предположили, что создатели Trickbot решили сделать из него вымогатель, однако позже выяснили, что такая уловка необходима для кражи учетных данных в новых версиях Windows.

Аналитики отмечают, что киберпреступники и ранее использовали спам-рассылки для доставки зловреда, однако впервые применили механизм переадресации для маскировки ссылок на свои ресурсы.

Категории: Вредоносные программы