18.08.2017

Известная ранее вредоносная программа TrickBot, атакующая преимущественно банковский сектор по всему миру, активно стала использоваться злоумышленниками при атаках на CRM-системы

Центр кибербезопасности ФГУП «ЗащитаИнфоТранс» сообщает: известная ранее вредоносная программа TrickBot, атакующая преимущественно банковский сектор по всему миру, активно стала использоваться злоумышленниками при атаках на CRM-системы. Последние модификации вредоносной программы похищают данные из браузеров и Outlook: происходит кража учетных данных пользователей за счет использования множества фальшивых страниц для авторизации.

Процесс заражения прост и рассчитан на невнимательных пользователей. Жертва получает письмо с вложением, которое содержит вредоносную программу. После заражения вредоносная программа работает в фоновом режиме, пока пользователь не зайдет на нужный сайт, где попадает на подложный ресурс с правильным URL и действительным SSL-сертификатом. Увидеть подмену непросто: лишь внимательно изучив письмо, можно заметить, что адрес ресурса написан не точно. Как правило, для подмены адреса злоумышленники стараются использовать буквы, похожие по написанию или звучанию.

Центр кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендует:

- Открывать письма и вложения только от известных источников.
- Блокировать просмотр изображений в Outlook.
- Внимательно относитесь к ссылкам, полученным по электронной почте.

При получении сомнительного письма по электронной почте с приложением (Attachment), в котором предположительно может содержаться вирус, необходимо отправителю написать короткое письмо с просьбой подтвердить факт посылки данного письма обычным текстом, используя для этого команду Reply почтовой программы. Успех описанного алгоритма основан на том, что рассылка вирусов обычно идет с адресов, которые немедленно после рассылки закрываются. В случае, если это была рассылка вложений с вредоносными программами, в ответ на ваш «reply» придет письмо от сервера о том, что указанный адресат не существует.