Hátat fordított a banki adatoknak a TrickBot vírus

A TrickBot banki trójai valamilyen rejtélyes oknál fogva elfordult a pénzügyi információktól, és inkább a fertőzött számítógépek megbízhatóságának feltérképezésével kezdett foglalkozni.
 

A TrickBot egy régebb óta terjedő kártékony program, amely elsősorban banki adatok eltulajdonítására specializálódott. Csakhogy a banki trójaiak kisebb módosításokkal általában egyéb célú adatlopásra is rávehetők, hiszen már amúgy is tartalmaznak kémkedésre alkalmas összetevőket. Pontosan így gondolták mindezt a TrickBot készítői is, akik ezúttal elfordultak a számukra oly kedves pénzügyi információktól. Feltehetőleg átmenetileg!
 
A trójai legújabb variánsa banki felhasználónevek és jelszavak helyett a Windows megbízhatósági elemzéseivel összefüggő adatokkal látja el a terjesztőit, mivel a a RAC (Reliability Analysis Component) szolgáltatást állította célkeresztbe. A biztonsági kutatók egyelőre nem igazán tudják, hogy mi célt szolgálhat a RAC-előzmények gyűjtése, de valószínűleg célzott támadások későbbi indításához gyűjtögetik ezeket a vírusterjesztők.
 
Alapbeállítások esetén a RAC a háttérben ütemezetten fut. Sok esetben a ProgramData\Microsoft\RAC\ mappába menti le az előzményi adatokat, így nem csoda, hogy a trójai is erre a könyvtárra figyel, és abból menti ki a számára kijelölt állományokat. (A RAC-funkció egyebek mellett a Feladatütemező segítségével tiltható le szükség esetén.)
 
Azért a banki véna megmaradt
 
Az új TrickBot nem teljesen engedte el a banki fonalat. Ennek oka, hogy olyan elektronikus levelek révén terjed, amelyek látszólag a Lloyds Banktól érkeznek. A feladó e-mail címében a lloydsbankdocs.com domain név szerepel. A levél szövege szerint a mellékelt Word dokumentum fontos információkat tartalmaz a címzett számlájával kapcsolatban. Amikor megnyitja azt a felhasználó, akkor a Word a makrók engedélyezését kéri. Ha az engedélyt megadja a címzett, akkor a trójai azonnal letöltődik, és megfertőzi a számítógépet. Érdekesség, hogy a csalók ebbe a dokumentumba a bank logója mellett még egy Symantec logót is elhelyeztek, ezzel is nyomatékosítva, hogy ellenőrzött fájlról van szó. Természetesen a valóságban erről szó sincs, sem a banknak, sem a Symantec-nek nincs köze a dokumentumhoz.  
Védekezés
 
A TrickBot esetében is igyekeztek trükközni a vírusírók, de szerencsére mostanra már a legelterjedtebb víruskeresők képesek detektálni az előbbiekben említett, problémás dokumentumot. Ezért a naprakész vírusvédelemnek fontos szerepe van a kockázatok csökkentésében. Mindezek mellett természetesen ezúttal is igaz az, hogy makrókat csak végső esetben, kizárólag megbízható forrásból származó állományok esetén célszerű engedélyezni.