TrickBot возвращается с новой атакой, которая скомпрометировала 250 миллионов адресов электронной почты

Дядя Влад

Вредоносная программа TrickBot, которая ранее в этом году работала в тандеме с вымогателем Ryuk, чтобы вытащить миллионы долларов для хакеров, вернулась с новой атакой, которая могла скомпрометировать до 250 миллионов учетных записей электронной почты.

В отчете Deep Instinct компания по кибербезопасности раскрыла новый вариант TrickBot, который объединяет его с вредоносным модулем заражения и распространения по электронной почте, названным TrickBooster.

Новая атака начинается так же, как и в предыдущих методах, когда TrickBot проникает в компьютер жертвы. Затем вредоносная программа вынуждает компьютер загрузить TrickBooster, который сообщает обратно на выделенный сервер управления и контроля со списками адресов электронной почты и учетными данными, полученными из папки входящих, исходящих и адресных книг жертвы. После этого сервер TrickBooster дает указание зараженной машине отправлять вредоносные письма о заражении и спаме, при этом электронные письма удаляются из папки «Исходящие» и «Корзина», чтобы оставаться скрытыми от жертвы.

В ходе исследования Deep Instinct в отношении TrickBooster и связанной с ним сетевой инфраструктуры компания по кибербезопасности обнаружила базу данных, содержащую 250 миллионов учетных записей электронной почты, которые были собраны операторами TrickBot. Адреса, вероятно, также были направлены на вредоносные электронные письма.

Восстановленный дамп электронной почты включает в себя около 26 миллионов адресов в Gmail, 19 миллионов в Yahoo, 11 миллионов в Hotmail, 7 миллионов в AOL, 3,5 миллиона в MSN и 2 миллиона в Yahoo UK. В скомпрометированных учетных записях также участвовали многие правительственные департаменты и агентства. Соединенные Штаты, включая, помимо прочего, Министерство юстиции, Министерство внутренней безопасности, Государственный департамент, Управление социального обеспечения, Службу внутренних доходов, Федеральное управление авиации и Национальное управление по аэронавтике и исследованию космического пространства. Другие затронутые включают правительственные организации и университеты в Великобритании и Канаде.

Система Deep Instinct проверила несколько тысяч скомпрометированных учетных записей электронной почты на наличие ранее зарегистрированных нарушений безопасности и обнаружила, что база данных представляет собой новый пакет адресов, который ранее не просматривался и не сообщался.

По словам Deep Instinct, открытие TrickBooster «подчеркивает успех и изощренность TrickBot», тогда как модель была описана как «мощное дополнение к обширному арсеналу TrickBot» методов атаки.

Deep Instinct сказал, что он продолжает свои исследования и анализ TrickBooster, и что он находится в процессе информирования властей о деталях новой атаки TrickBot.