O IBM X-Force monitora bilhões de e-mails de spam por ano, mapeando tendências, campanhas maliciosas e suas origens. Uma análise recente de nossas armadilhas de spam descobriu uma nova campanha do Trickbot que atualmente tem como alvo destinatários de e-mail com mensagens falsas que pretendem vir do Departamento de Trabalho dos EUA (DoL). O spam utiliza a Lei de Licença Médica e Familiar (FMLA) , que concede aos funcionários o direito a benefícios de licença médica, como contexto em torno do COVID-19 para distribuir o malware.
TrickBot FMLA Spam
O TrickBot é um Trojan bancário sofisticado, operado por uma gangue de crimes cibernéticos organizados. Os usuários infectados com o TrickBot Trojan verão o dispositivo se tornar parte de uma botnet que pode permitir que os invasores obtenham controle completo do dispositivo. As consequências típicas das infecções pelo TrickBot são aquisição de conta bancária, fraude eletrônica de alto valor e possivelmente ataques de ransomware direcionados a redes organizacionais. O TrickBot não se limita a esses tipos de ataques e a X-Force tem visto isso se envolver em empreendimentos adicionais de crimes cibernéticos no passado recente, especificamente em parceria com o ITG08 , conhecido como FIN6, para realizar ataques motivados financeiramente no setor de varejo.
O spam que vem de entidades oficiais e do governo tem aumentado consideravelmente durante a pandemia do COVID-19, com os cibercriminosos desenvolvendo spam para combinar notícias, desenvolvimentos, mercadorias e iniciativas em torno do surto como um meio de enviar e-mails não solicitados que atraem destinatários a abrir e iniciar anexos.
Maldocs com temas da DocuSign e macros maliciosas
O exemplo de email com o qual começamos, US-DoL.eml , contém três anexos: us-logo.png , faq.png e Licença médica e familiar da Lei 22.04.doc . Os arquivos .PNG são arquivos de imagem benignos que são visíveis na versão HTML do email e contêm um logotipo DoL e perguntas frequentes | ENTRE EM CONTATO CONOSCO, respectivamente. O arquivo do documento é o componente malicioso.
Os arquivos de documentos maliciosos são uma das formas mais populares para os criminosos cibernéticos distribuírem malware. Nas amostras de spam analisadas, a eventual carga útil do TrickBot começou em um anexo do tipo DocuSign intitulado Licença médica e familiar do ato 22.04.doc . Uma vez aberto, o documento solicita ao destinatário que habilite macros ( ThisDocument.cls ), a partir das quais, ao fechar o arquivo, serão lançados scripts maliciosos para buscar o malware no domínio designado do invasor.