Wirus e-mail „Kredyt zatrzymania pracowników”

Wykryto nową kampanię spamową rozsyłającą trojana TrickBot. Tysiące uzbrojonych wiadomości e-mail jest rozpowszechnianych, a głównymi celami są użytkownicy z USA, sądząc po fałszywej wiadomości używanej jako przynęta. Aby skłonić użytkowników do interakcji z uszkodzonym załącznikiem wiadomości e-mail, cyberprzestępcy przygotowali wiadomości spamowe tak, aby wyglądały tak, jakby pochodziły z IRS (Internal Revenue Service) w związku ze zmianami w polityce dotyczącej kredytu zatrzymanego dla pracowników przyjętej w odpowiedzi na COVID- 19 pandemia. IRS to agencja Stanów Zjednoczonych odpowiedzialna za egzekwowanie federalnego prawa podatkowego i pobieranie podatków. Z kolei Kredyt Zatrzymania Pracowników jest uzasadnionym środkiem ulgowym dla przedsiębiorstw, który umożliwia uprawnionym pracodawcom otrzymanie zwrotnej ulgi podatkowej na podstawie określonych specyfikacji.

Jednak twierdzenia zawarte w fałszywych wiadomościach e-mail „Kredyt na utrzymanie pracowników" są całkowicie sfabrykowane. Ich jedynym celem jest nakłonienie użytkownika do otwarcia załączonego dokumentu Microsoft Office Excel, który rzekomo zawiera nowo uchwalone zasady. Zamiast tego plik uruchamia łańcuch ataków, który ostatecznie upuszcza trojana TrickBot na komputerze użytkownika.

TrickBot to wszechstronne zagrożenie trojańskie, które jest nastawione głównie na zbieranie informacji, ale może być modyfikowane w celu wykonywania wielu groźnych działań. Informacje zebrane przez zagrożenie obejmują szczegóły systemu, internetowe pliki cookie, historię przeglądania, dane logowania do konta, informacje o automatycznym uzupełnianiu i inne poufne dane zapisane w przeglądarce. Trojan może przeprowadzać operacje phishingowe poprzez pobieranie informacji wprowadzonych przez użytkownika jako danych logowania na różnych stronach internetowych. Ponadto TrickBot może również uzyskać kody PIN określonych usług telekomunikacyjnych w USA, które zapewniają hakerom dostęp do numerów telefonów ich ofiar. Nowsze wersje trojanów TrickBot zostały również wyposażone w funkcje blokady ekranu - zagrożenie uniemożliwi użytkownikowi dostęp do zainfekowanego urządzenia poprzez zablokowanie jego ekranu, a następnie zażądanie okupu.