11月2日、新しいスパムキャンペーンを目撃しました。このキャンペーンでは、Word文書が添付されたメールが英国の企業に送信されました。 各郵便メッセージには「会社の家-新会社の苦情」というテーマがあり、添付のWord文書は「Complaint.doc」と呼ばれていました。 ユーザーがこのファイルを開いたとき、これは見たものです:
trickbotはどのように機能しますか?
ユーザーが推奨される指示に従うと、このドキュメントのマクロが実行されます。 彼はdododocdoc.exeというファイルをダウンロードします。このファイルはsweezy.exeとして%temp%フォルダーに保存され、実行されます。 このファイルは、TrickBotマルウェアファミリーの亜種です。 起動後、コンピューターに自身をインストールし、dllをsvchost.exeシステムプロセスに挿入します。 そこから、C&Cサーバーに接続します。
このキャンペーンはグローバルな意味で大規模なものではありませんでしたが、英国の企業のみを対象としていました。 何百人ものPanda Securityの顧客がそのような手紙を受け取りましたが、それらはすべて積極的に保護されていたため、追加のアクションを行う必要はありませんでした。 ただし、このキャンペーンの明確な選択性は注目に値します。なぜなら、ホームユーザーは潜在的な被害者とは見なされず、企業ユーザーはイギリスの企業を圧倒的に代表しているからです。 このキャンペーンは短期で、午前10時55分から午後12時11分(GMT)の範囲でした。
このマクロはPowerShellを使用して悪意のあるプログラムを実行します。 この手法は最近ますます一般的になり、ランサムウェアによる攻撃を実行したり、 PoS端末に感染したりするために使用されています。