Мой кабинет

Известный банковский троян начал подбираться к кодам Windows

Известный банковский троян начал подбираться к кодам Windows

Софт
Время на прочтение: 2 мин
Известный банковский троян начал подбираться к кодам Windows

По каким-то причинам злоумышленников стали интересовать данные, которые собирает монитор стабильности Windows. Вероятнее всего, эти сведения будут использоваться для точечных атак.


Троянец и стабильность

Эксперты по безопасности обнаружили, что новая версия известного банковского троянца TrickBot, появившегося в 2016 г., стала собирать несколько неожиданный тип данных: информацию о функционировании и сбоях операционной системы Microsoft Windows.

В Windows присутствует специализированная функция Reliability Analysis Component («Средство анализа стабильности»), которая снабжает монитор стабильности Windows сведениями об установке ПО, обновлениях, ошибках в ОС и приложениях, а также об аппаратных сбоях.

Средство анализа стабильности запускают своего агента RACAgent, который каждый час собирает все эти данные и сохраняет их в локальной папке C:\ProgramData\Microsoft\RAC\. Данную опцию можно отключать через «Планировщик заданий» (Task Scheduler), однако это скажется на функционировании монитора стабильности.

Эксперты My Online Security обнаружили, что троянец TrickBot стал проявлять нездоровый интерес к этим данным. Что именно злоумышленники собираются с ними делать, пока не понятно.

Фишинг и новые атаки

Эксперт по информационной безопасности компании SEC Consult Services Михаил Зайцевпридерживается мнения о том, что эти сведения могут использоваться для фишинга, но это не единственный вариант. «Данные о сбоях в функционировании в операционной системе и приложениях вполне можно использовать для определения слабых мест в системе, — говорит эксперт. — Такой информацией, естественно, вполне заинтересуются всевозможные злоумышленники, занимающиеся распространением вредоносного ПО».

Эксперты гадают о причинах проснувшегося интереса известного трояна к Windows

TrickBot в последнее время активно распространяется в виде фальшивых сообщений от банка Lloyds Bank. Письма якобы исходят с адреса donotreply@lloydsbankdocs.com, а вредоносный код содержится в макросе во вложенном файле Microsoft Word.

Документ также содержит логотип антивирусной компании Symantec, чтобы убедить пользователя, что он прошёл проверку на вредоносное ПО, однако как минимум 30 антивирусных разработок корректно идентифицируют этот вредонос.

Источник:  safe.cnews.ru

Теги
Рассказать друзьям

Документы

docx
i4jaedc80flg79ht83xpwpsbxdth3xlb.docx
Скачать: DOCX, 260.6 КБ
xlsx
mzjpgx5ofmeud6zksh81ka652rkmdloc.xlsx
Скачать: XLSX, 8.1 КБ
pdf
5zz62muhneiquh98qa9cfxjcea1uvalh.pdf
Скачать: PDF, 584.9 КБ

Комментарии

Загрузка комментариев...
Мой город
+7 (987) 001-24-24 (Нижнекамск)
Без выходных 09:00-22:00
г. Нижнекамск
проспект Строителей, 68Б