TrickBot使用Google Docs网络钓鱼绕过安全电子邮件网关

 
攻击者正在使用Google Docs在线文字处理器，通过伪装成PDF文档的可执行文件向不知情的受害者传播TrickBot银行特洛伊木马有效负载。
攻击者利用网络钓鱼欺骗他们的目标，使用社交工程技术将敏感信息重定向到他们控制的欺诈性网站，或通过电子邮件传递恶意有效负载，这些电子邮件看起来像是由他们信任的人发送的。
通过此malspam广告系列投放的网上诱骗邮件使用通过与目标共享Google文档文档生成的合法邮件，其中包含虚假的404错误消息和指向恶意负载的链接。
通过Google Docs提供的TrickBot有效负载
通过使用合法的Google Docs文档共享电子邮件和登录页面，攻击者成功绕过了一个安全的电子邮件网关，旨在监控电子邮件并阻止此类攻击，正如Cofense的研究团队发现的那样。
要将目标重定向到Google文档登录页面，攻击者在网络钓鱼电子邮件中添加了“在文档中打开”按钮。进入目标网页后，目标会看到虚假的404错误，并被要求手动下载文档。
受害者通过利用默认的Windows设置(隐藏已知文件类型的扩展名)，下载伪装成具有.pdf.exe扩展名的PDF文档的恶意有效负载，而不是承诺的文档。
执行后，恶意软件会将自身复制到多个文件夹，并通过添加计划任务来获得持久性，该计划任务将在系统启动时启动其中一个副本，并在接下来的414天内每隔11分钟启动一次。
Cofense发现，银行特洛伊木马也将注入svchost进程，并且如果你让它运行，它将继续“发布越来越多的Svchost。它们中的每一个通常都是Trickbot模块的负责人”。
Cofense网络钓鱼防御中心在其报告结束时提供此网络钓鱼活动的折衷指标(IOC)，包括攻击中使用的恶意软件样本哈希，URL和IP地址。
经常升级和高度活跃的银行木马
TrickBot(也称为Trickster，TrickLoader或TheTrick)是通过此网络钓鱼活动分发的恶意负载，是一种不断发展的银行特洛伊木马，自2016年10月发现以来，不断升级新的模块和功能。
虽然它一开始只向其运营商提供尽可能多的敏感数据，但它现在也成为一种流行的恶意软件投放器，能够感染受攻击的计算机以及勒索软件等其他恶意软件。
TrickBot是目前通过malspam活动取代Emotet成为最活跃分布的应变程序之后最具攻击性的恶意软件之一，安全研究人员几乎每周都会对升级版本进行升级，
8月，一个新的Trickbot特洛伊木马变种针对Verizon Wireless，T-Mobile和Sprint用户使用新的动态webinject窃取他们的PIN码，暗示僵尸网络运营商可能参与或计划运营SIM交换欺诈计划，这将启用他们完全控制受害者的电话号码。
仅在7月份，TrickBot木马就被发现接收了一个新的IcedID代理模块，用于窃取银行信息升级，添加Windows Defender绕过功能，以及专门用于窃取浏览器cookie的模块。
CrowdStrike和FireEye研究人员还在1月份发现TrickBot正在转向Access-as-a-Service业务模式，允许其他威胁参与者访问以前受到威胁的机器和网络。
一旦设备被感染并被添加到僵尸网络中，特洛伊木马会为“租户”创建反向炮弹，就像Ryuk背后的黑客组织一样，允许他们横向移动通过网络并丢弃他们的有效载荷在其他机器上。
网络钓鱼者改变诱饵
在过去的几个月里，我们发现了其他一些使用各种技术和方法窃取其目标敏感信息的网络钓鱼活动。
例如，本周攻击者使用虚假的简历附件来提供Quasar远程管理工具(RAT)恶意负载，而Instagram用户使用虚假的“失败登录尝试”警告和2FA代码进行钓鱼电子邮件攻击，以使诈骗更具说服力。
同样在8月，一个不寻常的活动探测了电子邮件收件箱，其中包含链接到目标公司品牌的Microsoft 365租户登录页面的电子邮件。
微软安全研究人员发现了另一个非常特殊的攻击，它使用自定义404错误页面来诱骗潜在的受害者分发他们的Microsoft凭据。