Malware-ul TrickBot, care la inceputul acestui an a lucrat in tandem cu ransomware-ul Ryuk pentru a sustrage milioane de dolari pentru hackeri, se intoarce cu un nou atac care ar fi compromis pana la 250 de milioane de conturi de e-mail.

 

Intr-un raport al Deep Instinct, compania de securitate cibernetica a dezvaluit o noua varianta a lui TrickBot, care il echipeaza cu un modul malware, bazat pe e-mail si un modul de distributie numit TrickBooster.

 

Noul atac incepe la fel ca in metodele anterioare, iar TrickBot infiltreaza computerul victimei. Malware-ul forteaza apoi computerul sa descarce TrickBooster, care raporteaza inapoi catre un server dedicat de comanda si control, cu liste de adrese de e-mail si acreditari de autentificare recoltate din casuta postala si agenda a victimei. Ulterior, serverul TrickBooster instruieste masina infectata sa trimita mesaje infectate si mesaje spam, cu e-mailurile sterse din casuta de iesire si cosul de gunoi pentru a ramane ascunse de victima.

 

In investigatia lui Deep Instinct despre TrickBooster si infrastructura sa de retea asociata, firma de securitate informatica a descoperit o baza de date care contine 250 de milioane de conturi de e-mail care au fost recoltate de operatorii TrickBot. Adresele au fost, de asemenea, vizate, de asemenea, cu e-mail-uri rau intentionate.

 

Dump-ul de e-mail-uri recuperat contine aproximativ 26 de milioane de adrese pe Gmail, 19 milioane pe Yahoo, 11 milioane pe Hotmail, 7 milioane pe AOL, 3,5 milioane pe MSN si 2 milioane pe Yahoo UK Conturile compromise au implicat de asemenea multe departamente si agentii guvernamentale in Statele Unite, inclusiv, dar fara a se limita la, Departamentul de Justitie, Departamentul de Securitate Interna, Departamentul de Stat, Administratia de Securitate Sociala, Serviciul de Impozite Intern, Administratia Federala a Aviatiei si Administratia Nationala de Aeronautica si Spatiu. Altii afectati includ organizatiile guvernamentale si universitatile din Regatul Unit si Canada.

 

Deep Instinct a verificat cateva mii de conturi de e-mail compromise impotriva incalcarilor de securitate inregistrate anterior si a constatat ca baza de date este un nou lot de adrese care nu a fost anterior vazut sau raportat.

 

Descoperirea lui TrickBooster “evidentiaza succesul si sofisticarea lui TrickBot”, in conformitate cu Deep Instinct, in timp ce modelul a fost descris ca “un plus puternic pentru arsenalul vast al lui TrickBot” de metode de atac.

 

Deep Instinct a spus ca isi continua cercetarea si analiza in TrickBooster si ca este in proces de a raporta detaliile noului atac TrickBot catre autoritati.