Банковский троян Trickbot начал атаковать клиентов американских банков через спам, щедро рассылаемый с ботнета Necurs. Известный банкер стал еще эффективнее с приобретением кастомного механизма редиректа.

Новую активность Trickbot обнаружили исследователи из IBM X-Force и Flashpoint. Согласно их наблюдениям, спам-рассылки, нацеленные на засев Trickbot, продолжаются уже несколько месяцев, а новейшая была проведена в начале прошлой недели. Flashpoint в своей блог-записи заострила внимание на смене мишеней зловреда. 

Исследователи безопасности зафиксировали всплеск атак с применением банковского трояна TrickBot. Если раньше киберпреступники ограничивались приложениями для online-банкинга, то теперь они также нацелились на пользователей PayPal и CRM-систем для бизнеса.

TrickBot – сравнительно новое вредоносное ПО, появившееся в сентябре 2016 года. Неофициально считается преемником банковского трояна Dyre, исчезнувшего с киберпреступной арены зимой 2015-2016 годов после обыска в одной из российских компаний. Однако вредонос является не просто видоизмененной версией Dyre.

С момента публикации исходного кода банковского Android-трояна в открытом доступе, инженеры Google ведут непрерывную борьбу с различными версиями вредоносного ПО, которым раз за разом удается обходить проверки безопасности Google Play.

Первая версия трояна, получившая наименование BankBot, появилась в конце января 2017 года и использовалась в атаках на клиентов российских банков. В феврале авторы вредоноса выпустили новый вариант, ориентированный не только на клиентов банков в РФ, но и финорганизаций в других странах, в частности Великобритании, Австрии, Германии и Турции.

Исследователи обнаружили ряд Android-приложений, на первый взгляд ничем не отличающихся от легитимных, но оснащенных рекламным ПО. Как показал анализ, рекламное ПО обладает куда большим функционалом, чем просто способностью отображать рекламу.

Речь идет о вредоносе Ewind, распространяющемся в связке с популярным играми, приложениями социальных сетей и антивирусами, такими как GTA Vice City, Minecraft – Pocket Edition, «ВКонтакте», AVG и Avast! Ransomware Removal. Все они доступны для загрузки в популярных магазинах Android-приложений.

Исследователи компании Check Point сообщили о продолжающейся вредоносной кампании с использованием банковского трояна Swearing для Android-устройств. Главной особенностью вредоноса является способ его распространения.

Троян попадает на устройства жертв через SMS-сообщения с ссылкой на троян, отправленные с поддельных базовых станций. Использование базовых станций для распространения вредоносного ПО предрекали эксперты компании Avast еще в 2014 году, однако практическое применение этот способ нашел лишь сейчас.

Эксперты опубликовали доклад, посвященный деятельности банковского Android-трояна Marcher, активного с конца 2013 года. Первые версии вредоноса использовались в фишинговых атаках, направленных на хищение данных о платежных картах.

В марте 2014 года жертвами Marcher стали клиенты одного из банков в Германии. Во второй половине 2016 года Marcher атаковал десятки организаций в различных странах, включая Великобританию, США, Австралию, Францию, Польшу и Испанию. Кроме того, операторы трояна начали распространять вредонос под видом популярных приложений.

Новые модификации вредоносного ПО Carbanak используют ряд сервисов Google для хостинга своей C&C-инфраструктуры, сообщают эксперты компании Forcepoint.

По данным исследователей, злоумышленники рассылают спам-сообщения с прикрепленным зараженным документом. При открытии файла пользователям предлагается разблокировать контент двойным щелчком мыши. После осуществления данного действия на экране отображается диалоговое окно, однако в действительности на компьютер будет загружен банковский троян Carbanak.

Один из самых распространенных — и самых важных — советов по кибербезопасности звучит так: никогда не вводите логины, пароли, данные кредитных карт и так далее, если с адресом ссылки что-то не так. Это опасно.

Если вместо facebook.com вы видите, например, fasebook.com или что-то в таком духе — ничего хорошего от такой страницы ждать не стоит. Но что, если поддельная страница содержится по настоящему адресу? Оказывается, такой неприятный вариант тоже возможен, и для этого злодеям даже не надо взламывать сервер, на котором хранится заветная страница.

Банкер Tordow был детально описан в сентябре 2016 года специалистами «Лаборатории Касперского». От большинства других мобильных банкеров он отличается тем, что стремится получить root-привилегии в системе, хотя деньги можно похитить и без этого.

Root-права предоставляют малвари новые векторы атак и уникальные возможности. Теперь специалисты компании Comodo обнаружили обновленную версию малвари, которую называют Tordow v2.0. Вредонос сохранил все возможности, которыми обладал ранее, но также добавил в свой арсенал несколько новых трюков.

В настоящее время никого не удивить мобильными банковскими троянами, оснащенными функционалом вымогательского ПО. Как правило, подобные вредоносы просто блокируют устройство и требуют выкуп за его разблокировку.

Тем не менее, эксперты обнаружили троян, который шифрует хранящиеся на смартфоне файлы. В общей сложности исследователи обнаружили несколько тысяч установочных пакетов Faketoken, способных шифровать файлы. Злоумышленники распространяют вредоносное ПО под видом различных программ, игр и Adobe Flash Player.