Xakep #305. Многошаговые SQL-инъекции
Банкер TrickBot был обнаружен осенью 2016 года и эксперты полагают, что его «прародителем» выступил другой известный банковский вредонос, Dyre, операторы которого были арестованы еще в конце 2015 года. Согласно данным ИБ-специалистов, помимо десятков банковских приложений TrickBot атакует пользователей PayPal и различные CRM-системы, кроме того, малварь недавно научилась похищать данные из Outlook и браузеров, а разработчики вредоноса экспериментируют с эксплоитом EternalBlue, с помощью которого распространялись шифровальщики WannaCry и NotPetya.
TrickBot, как правило, распространяется обычными методами, к примеру, посредством почтового спама. При этом недавно стало известно, что операторы малвари маскируют свои письма под сообщения от одного из крупнейших британских банков, Lloyds Bank, и рассылают спам со скоростью более 75 000 сообщений за 25 минут.
Теперь аналитики компании Forcepoint предупреждают, что новейшие образцы TrickBot обладают еще одной интересной особенностью. В файле конфигурации малвари появился раздел, отвечающий за фишинговый оверлей для страницы входа на сайт Coinbase.com.
Удивляться этому не приходится, ведь на сегодняшний день Coinbase – один из крупнейших криптовалютных веб-кошельков в мире, а в минувшую пятницу, 1 сентября 2017 года, курс биткоина впервые превысил $5000 (хотя после этого он просел до $4300-4500). Совсем не удивительно, что злоумышленники все чаще стремятся похитить чужие биткоины и другую криптовалюту, а троянов для майнинга становится все больше.