Trojany bankowe w natarciu. Spam metodą dystrybucji wirusów

W połowie marca br. specjaliści Kasperky’iego wykryli dwie nowe kampanie spamowe, w ramach których hakerzy rozsyłali wiadomości zawierające zainfekowane pliki ZIP lub załączniki do witryn z wirusami. Szczegółowa analiza pokazała, że celem operacji była dystrybucja trojanów bankowych, przede wszystkim „IcedID” oraz „QBot”. Dziennie eksperci firmy wykrywali ponad sto przypadków infekcji złośliwym oprogramowaniem.

Żadna ze wskazanych rodzin wirusów nie jest nowa – zidentyfikowaliśmy je już znacznie wcześniej w ramach kampanii spamowych.

Zainfekowany plik Excel

Pierwsza z wykrytych przez specjalistów kampania została nazwana „DotDat”. W jej ramach hakerzy rozsyłali wiadomości dotyczące rzekomego anulowania operacji finansowej lub roszczeń w sprawie odszkodowania. W rzeczywistości w środku znajdowały się zainfekowane załączniki do pliku Microsoft Excel.

Druga operacja bazowała na zhakowanych witrynach internetowych, zawierających złośliwe archiwa o nazwach „documents.zip”, „document-XX.zip”, „doc-XX.zip” („XX” oznacza dwie losowe cyfry), w których znajdowały się zainfekowane pliki Excela. Punktem kulminacyjnym kampanii był 17 marca br.

Przejęcie danych i kontroli

Wykorzystane przez hakerów wirusa „IcedID” pozwala im na m.in. eksfiltrację informacji, kradzież danych systemowych czy pobieranie oraz instalację dodatkowych aplikacji i/lub narzędzi. Jak podaje Kaspersky, w marcu br. najwięcej incydentów z udziałem tego oprogramowania odnotowano w Chinach, Indiach, we Włoszech, Stanach Zjednoczonych i Niemczech.

Z kolei jeśli chodzi o „QBota”, specjaliści wskazują, że został on skonstruowany z myślą o kradzieży haseł i przejmowaniu zdalnej kontroli nad zainfekowanym urządzeniem. Podobnie jak to miało miejsce w przypadku „IcedID”, wirus w marcu br. był również najczęściej wykorzystywany w cyberatakach ukierunkowanych na podmioty w Chinach, Indiach i Stanach Zjednoczonych. Służył także do kampanii prowadzonych w Rosji oraz Francji.