E-mailvirus 'Employee Retention Credit'
Er is een nieuwe spamcampagne per e-mail gedetecteerd die de TrickBot Trojan verspreidt. Duizenden bewapende e-mails worden verspreid met als belangrijkste doelwit de in de VS gevestigde gebruikers, te oordelen naar het nepbericht dat als lokaas wordt gebruikt. Om gebruikers te laten communiceren met de beschadigde e-mailbijlage, hebben de bedreigingsactoren de spam-e-mails zo gemaakt dat het lijkt alsof ze afkomstig zijn van de IRS (Internal Revenue Service) met betrekking tot wijzigingen in het personeelsretentiekredietbeleid dat is aangenomen als een reactie op de COVID- 19 pandemie. De IRS is het Amerikaanse agentschap voor de handhaving van de federale wettelijke belastingwetgeving en het innen van belastingen. Het werknemersretentiekrediet is op zijn beurt een legitieme maatregel voor zakelijke verlichting waarmee in aanmerking komende werkgevers een terugbetaalbaar belastingkrediet kunnen ontvangen op basis van bepaalde specificaties.
De claims in de nep-e-mails over 'Employee Retention Credit' zijn echter volledig verzonnen. Hun enige doel is om de gebruiker te misleiden om het bijgevoegde Microsoft Office Excel-document te openen dat zogenaamd het nieuw uitgevoerde beleid bevat. In plaats daarvan activeert het bestand de aanvalsketen die uiteindelijk de TrickBot Trojan op de computer van de gebruiker laat vallen.
TrickBot is een veelzijdige Trojan-bedreiging die voornamelijk is gericht op het verzamelen van informatie, maar kan worden aangepast om een groot aantal bedreigende activiteiten uit te voeren. De informatie die door de dreiging wordt verzameld, omvat systeemdetails, internetcookies, browsegeschiedenis, accountreferenties, automatisch ingevulde informatie en andere gevoelige gegevens die in de browser zijn opgeslagen. De Trojan kan phishing-operaties uitvoeren door de informatie te scrapen die door de gebruiker is ingevoerd als inloggegevens op verschillende websites. Bovendien kan TrickBot ook de pincodes verkrijgen van specifieke Amerikaanse telecommunicatiediensten die de hackers toegang geven tot de telefoonnummers van hun slachtoffers. Nieuwere TrickBot Trojan-versies zijn ook uitgerust met schermvergrendelingsmogelijkheden - de dreiging zal de gebruiker beletten toegang te krijgen tot het geïnfecteerde apparaat door het scherm te vergrendelen en vervolgens losgeld te eisen.
