NetWorld - Blog

De acordo com um novo relatório do Cofense Phishing Defense Center, o processador de texto do Google Docs está sendo usado para disseminar o trojan TrickBot.

O Trickbot é um trojan bancário surgido inicialmente em 2016.

O trojan está em constante evolução e agora é uma ameaças muito mais completa, capaz de roubar informações de aplicativos, enviar spam, roubar cookies do navegador instalado e até mesmo infectar o computador da vítima com outros malwares.

Google Docs é usado para distribuir o trojan TrickBot

Segundo o relatório, o trojan está sendo distribuído como executáveis disfarçados como documentos PDF quem chegam através de mensagens de email falsas.

As mensagens usadas por esta campanha fazem uso do suporte para compartilhamento de documentos do Google Docs.

Para redirecionar as vítimas, as mensagens falsas incluem um botão “Abrir no Docs”:

Quando a vítima clica neste botão, ela verá uma mensagem de erro 404 falsa pedindo para que o usuário faça o download do documento:

O suposto documento baixado é um executável disfarçado como um PDF. Se o Windows estiver configurado para ocultar as extensões dos arquivos conhecidos, a vítima não perceberá que se trata de um arquivo ‘.pdf.exe’ ao invés de um ‘.pdf’:

Depois de executado, o malware será copiado automaticamente para múltiplas pastas e obterá persistência no computador infectado depois de criar uma tarefa agendada que executará uma de suas cópias sempre que o sistema operacional for inicializado e a cada 11 minutos durante os 414 dias seguintes.

O trojan TrickBot também será injetado no processo svchost, que por sua vez iniciará outros processos svchost – cada um sendo um diferente módulo do trojan.

O relatório do Cofense Phishing Defense Center pode ser visto na íntegra aqui.