Банковский троян TrickBot распространяется посредством Google документов

TrickBot уже стал одним из самых популярных банковских троянов. Он известен сообществу исследователей в области информационной безопасности еще с октября 2016 года. Авторы вируса постоянно обновляют и совершенствуют его.

Первые релизы программы не обладали нынешним функционалом. Возможности загрузки сторонних файлов и похищения данных с зараженных устройств появилась не так давно.

Несколько дней назад сотрудники Cofence обнаружили новую версию распространения зловреда посредством фишинговых рассылок ссылок Google Docs.

Как вы знаете Гугл документы обладают функционалом рассылки уведомлений, чем успешно и пользуются злоумышленники.

Шаг 1. Уведомление что пользователю были отправлены документы, а он их не открыл.

Шаг 2. Переход по зловредной ссылке.

Когда получатель нажимает на ссылку, он направляется на подлинную страницу Google Docs, как показано ниже, которая содержит поддельное сообщение об ошибке 404 и другую встроенную ссылку («Скачать документ вручную»)

 Шаг 3. Скачивание зловреда.

Как только пользователь переходит на URL-адрес – скачивается файл, размещенный на Google Диске, ДОКУМЕНТ вида PDF.exe, то есть вирус заскирован под PDF-файл. Многие жертвы не обращают внимания на .exe расширение файла.

Шаг 4. Открытие зловреда = заражение.