Martin Borko
6. marca 2020

Malware „Trickbot“ zneužíva strach z koronavírusu. Dávajte si pozor na podvodné e-mailové správy

Malware Trickbot využíva aktuálne napätú situáciou okolo koronavírusu. Tvári sa ako e-mailová správa, ktorá chce pomôcť, ale opak je pradou.

Hackeri vyuzivaju koronavirus
Zdroj: Vosveteit.sk, Pixabay.com (xusenru, geralt)

Koronavírus je stále frekventovanejšou témou, a v týchto dňoch to obzvlášť platí na Slovensku, kde bol identifikovaný prvý pozitívny prípad. Bezpečnostní analytici zo spoločnosti Sophos poukazujú na novú kampaň, prostredníctvom ktorej je šírený malware s názov Trickbot. Záškodníci pritom využívajú strach ľudí z tohto vírusu.

Trickbot

Trickbot je šírený prostredníctvom spamových správ aktuálne s primárnym  zameraním  na taliansky región. V e-maile je pripnutý dokument, ktorý sa tvári ako zoznam s preventívnymi opatreniami, ako predchádzať šíreniu koronavírusu. Tento dokument však okrem odporúčaní obsahuje aj skript Visual Basic of Applications (VBA), prostredníctvom ktorého infikuje počítač malwarom Trickbot.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

Analytici spoločnosti Sophos zistili, že táto kampaň zameraná na šírenie škodlivého kódu Trickbot je aktívna už dlhšiu dobu, pričom hackeri na jeho šírenie využívajú aktuálns spoločenské témy. Zatiaľ čo v minulosti správy obsahovali dokumenty týkajúce sa pôžičiek a ďalších podobných tém, tak dnes je to už vyššie spomínaný vírus.

Sophoslab_trickbot_kampan_koronavirus
Zdroj: Sophos

V súčasnosti tento malware je šírený v e-mailových správach s názvom „Koronavírus: dôležité informácie o bezpečnostných opatreniach“ a s telom textu:

„Vzhľadom na skutočnosť, že prípady koronavírusovej infekcie sú zdokumentované vo vašej oblasti, Svetová zdravotnícka organizácia pripravila dokument, ktorý obsahuje všetky potrebné opatrenia proti koronavírusovej infekcii. Dôrazne vám odporúčame prečítať si dokument priložený k tejto správe!“

Zároveň treba dodať, že telo, ako aj názov e-mailu môže byť kedykoľvek pozmenené.  Preto sa nespoliehajte len na tvar správy vyššie, môže mať kľudne aj inú podobu. Po otvorení prílohy e-mailu sa Vám zobrazí notifikácia so žiadosťou o povolenie zapnutia funkcie makrá (za podmienky, že ju nemáte zapnutú) s poznámkou, že otváraný dokument je vytvorený v staršej verzii aplikácie Office Word.

trickbot-corona-1_notifikacia
Zdroj: Sophos

Následne po  povolení makier sa rozbalia potrebné súbory, a pomocou skriptu a niekoľkých ďalších automatizovaných krokov získa útočník prístup k Vášmu počítaču. Celý proces infikovania počítača si môžete pozrieť nižšie v infografike nižšie.

Trickbot malware
Zdroj: Sophos

Nejde o ojedinelý prípad

Nie tak dávno sme Vám priniesli správy o tom, že iná hackerská skupina, rovnako ako táto, využíva aktuálne dianie vo svoj prospech. V danom prípade išlo o trojského koňa s názvom Emotet, ktorý sa šíril v rovnakým spôsobom, teda prostredníctvom e-mailových správ. Bol zameraný však primárne na iný región ako teraz.

Určite Vám odporúčame, a to hlavne v týchto dňoch, nepodliehať panike a zbesilo otvárať obdobné e-mailové správy a v žiadnom prípade sťahovať a otvárať priložené súbory. Odporúčame Vám sledovať oficiálne média a vyjadrenia predstaviteľov jednotlivých orgánov verejnej moci, ktorí aktívne informujú verejnosť o aktuálnom dianí.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre