O TrickBot Se Espalha em uma Nova Campanha de Spam que Explora a Ansiedade Causada peloCOVID-19
Uma nova campanha espalhada por emails de spam está ocorrendo, tentando espalhar o malware TrickBot, alertam os pesquisadores com o IBM X-Force. Os e-mails falsos são formatados e redigidos para parecerem uma correspondência legítima do Departamento do Trabalho e o texto diz respeito a alterações na Lei de Licença Médica e Familiar.
Essa nova campanha de spam está mais uma vez se apoiando na contínua ansiedade causada pelo COVID-19, sobre o vírus e a situação econômica em todo o mundo. A legislação mencionada nos e-mails falsos trata da possibilidade de usar até 12 semanas de licença não remunerada em circunstâncias específicas. Os benefícios específicos que podem se colocar ao abrigo do ato foram alterados depois que o presidente Trump assinou um novo ato legislativo chamado Families First Coronavirus Response Act.
Os hackers fizeram questão de que os seus e-mails falsos parecessem razoavelmente convincentes, incluindo imagens e logotipos do Departamento do Trabalho, bem como trechos de algumas das páginas oficiais do Departamento. Os e-mails maliciosos contêm três anexos - um é chamado "Licença médica e familiar do ato 22.04.doc" e os outros dois são imagens .png. Os arquivos de imagem são inofensivos, mas o documento contém os macros maliciosos que fornecem a carga útil. A isca que deve levar as vítimas a abrir o anexo é a promessa de informações adicionais importantes que não estarão disponíveis antes que os macros sejam ativados.
Traços da Atividade Anterior do TrickBot
Embora os testes específicos realizados pelos pesquisadores da IBM tenham mostrado que, mesmo após a ativação dos macros, o malware não conseguiu se conectar aos seus servidores de Comando e Controle e fez o download de uma instância real do TrickBot, a campanha está vinculada a esse malware em particular devido à maneira como os macros do documento operam. Além disso, um endereço de IP relacionado ao servidor de C&C foi usado anteriormente pelos maus atores responsáveis pelo TrickBot.
O próprio TrickBot se originou de um Trojan que transforma credenciais bancárias em uma plataforma mais diversificada e sofisticada que também pode oferecer malware adicional, incluindo cargas úteis de ransomware.