Мой кабинет

Известный банковский троян начал подбираться к кодам Windows

Софт
Время на прочтение: 2 мин
Известный банковский троян начал подбираться к кодам Windows

По каким-то причинам злоумышленников стали интересовать данные, которые собирает монитор стабильности Windows. Вероятнее всего, эти сведения будут использоваться для точечных атак.


Троянец и стабильность

Эксперты по безопасности обнаружили, что новая версия известного банковского троянца TrickBot, появившегося в 2016 г., стала собирать несколько неожиданный тип данных: информацию о функционировании и сбоях операционной системы Microsoft Windows.

В Windows присутствует специализированная функция Reliability Analysis Component («Средство анализа стабильности»), которая снабжает монитор стабильности Windows сведениями об установке ПО, обновлениях, ошибках в ОС и приложениях, а также об аппаратных сбоях.

Средство анализа стабильности запускают своего агента RACAgent, который каждый час собирает все эти данные и сохраняет их в локальной папке C:\ProgramData\Microsoft\RAC\. Данную опцию можно отключать через «Планировщик заданий» (Task Scheduler), однако это скажется на функционировании монитора стабильности.

Эксперты My Online Security обнаружили, что троянец TrickBot стал проявлять нездоровый интерес к этим данным. Что именно злоумышленники собираются с ними делать, пока не понятно.

Фишинг и новые атаки

Эксперт по информационной безопасности компании SEC Consult Services Михаил Зайцевпридерживается мнения о том, что эти сведения могут использоваться для фишинга, но это не единственный вариант. «Данные о сбоях в функционировании в операционной системе и приложениях вполне можно использовать для определения слабых мест в системе, — говорит эксперт. — Такой информацией, естественно, вполне заинтересуются всевозможные злоумышленники, занимающиеся распространением вредоносного ПО».

Эксперты гадают о причинах проснувшегося интереса известного трояна к Windows

TrickBot в последнее время активно распространяется в виде фальшивых сообщений от банка Lloyds Bank. Письма якобы исходят с адреса donotreply@lloydsbankdocs.com, а вредоносный код содержится в макросе во вложенном файле Microsoft Word.

Документ также содержит логотип антивирусной компании Symantec, чтобы убедить пользователя, что он прошёл проверку на вредоносное ПО, однако как минимум 30 антивирусных разработок корректно идентифицируют этот вредонос.

Источник:  safe.cnews.ru

Теги
Рассказать друзьям

Документы

docx
4127f795b16955578e71daae27bfffa3.docx
Скачать: DOCX, 260.6 КБ
xlsx
39265aada966e1ad077c5a5579ebc7f2.xlsx
Скачать: XLSX, 8.1 КБ
pdf
9667110494767d33bbf04b90b37cbaf9.pdf
Скачать: PDF, 584.9 КБ

Комментарии

Загрузка комментариев...
Мой город
098 519 00 00 066 519 00 00 063 519 00 00
Пн-Пт 08:00-17:00
Сб 08:00-14:00 Вс-Выходной
г. Днепр
ул. Янтарная 69