Black Lives Matter-phishing

Efter et par stille uger på phishingfronten har cyberaktører atter fundet en verdensomspændende dagsorden at kapitalisere på: Black Lives Matter.

Således rapporterer Threatpost nu om spam-emails, der hævder at handle om en BLM-survey, men i virkeligheden leverer en af de mere frygtede malware, Trickbot-malwaren.

Ifølge det schweiziske sikkerhedsfirma Abuse optræder afsenderne som myndigheder og opfordrer modtagerne af de pågældende emails til at klikke på vedhæftede filer, som under dække at være en anonym afstemning om Black Lives Matter i virkeligheden indeholder en fil med Trickbot-malware. Klikker man på den vedhæftede fil aktiveres makroer, som downloader TrickBot i form af en ondsidet library-fil (.DDL file).

Der ses også vækst i registrering af domænenavne, der har slående ligheder med Black Lives Matter og George Floyd, hvilket kan ses som en forberedelse på yderligere udnyttelse af denne nye, verdensomspændende og dagsordenssættende begivenhed efter Corona og Covid-19.

Trickbot – et ubehageligt bekendtskab

Trickbot-malwaren er kendt for at have startet i 2016 som en bank-trojaner. Siden har den udviklet sig til også at indsamle oplysninger fra ofrenes emails, browsere og apps. Den også blevet kendt som leverandør af andre typer malware, fx Ryut og Clop.

Og udviklingen fortsætter. Fx blev der ifølge Threatpost tidligere denne måned tilføjet en ny feature til Trickbot: En skjult bagdør, som er blevet navngivet "BazarBackdoor" af forskerne. Og i januar fandt forskere, at malware-operatørerne bruger "PowerTrick", en anden bagdør, der hjælper malwaren med at gennemføre rekognoscering af finansielle institutioner.

Links:

https://threatpost.com/black-lives-matter-emails-trickbot-malware/156497/

https://www.bleepingcomputer.com/news/security/fake-black-lives-matter-voting-campaign-spreads-trickbot-malware/