Nowe niebezpieczeństwo czyha na osoby korzystające z płatnego pakietu biurowego Microsoft Office 365. Cyberprzestępcy stworzyli fałszywą stronę usługi, za pomocą której rozprzestrzeniają oprogramowanie typu malware, które podszywa się pod aktualizację do przeglądarki internetowej. Jest w nim przemycany szkodnik TrickBot.
Malware zagnieżdżone jest na stronie internetowej przypominającej serwis Office 365. Po przejściu na witrynę w oknie przeglądarki wyskakuje powiadomienie o nowej aktualizacji dla przeglądarki internetowej. Cyberprzestępcy przygotowali różne warianty powiadomienia, w zależności od tego z jakiej aplikacji korzysta ofiara.
https://get-office365[.]live/ -> https://get-office365[.]live/files/upd365_58v01.exe (fd97342e1968aed9d8f50468d3b7b7868981d9d360b2f049b6706e72d8184e3f – TrickBot looks)
— MalwareHunterTeam (@malwrhunterteam) 17 lipca 2019
Sectigo cert for the domain, DigiCert cert for payload (see thread: https://t.co/4bfybAGQaO)…
cc @VK_Intel pic.twitter.com/moxdgx9Vdp
Komunikat z wielkim napisem Chrome Update Center lub Firefox Update Center z miejsca wzbudzić podejrzenia wśród bardziej doświadczonych użytkowników komputerów. Mniej zaawansowane osoby mogą jednak kliknąć w całkiem niepozornie i prawdziwie wyglądający baner.
Od razu po kliknięciu przycisku “Update” w systemie instalowany jest trojan TrickBot. Ten rozpoczyna wyszukiwanie haseł zmagazynowanych na komputerze, historii przeglądania i danych autouzupełniania. Wszystkie skradzione informacje są wysyłane na serwer zewnętrzny.
TrickBot jest niezwykle trudny do ręcznego wykrycia, gdyż kamufluje się jako proces systemowy. Większość dobrych antywirusów powinna sobie jednak z nim poradzić.
Źródło: MalwareHunterTeam, Instalki.pl