Pankkitroijalaista levitetty haitallisten sähköpostiviestien avulla - kohteena myös suomalaisia pankkeja

Tietoturvayritys Forcepointin mukaan viime viikolla on levitetty Trickbot-pankkitroijalaista. Haittaohjelmaa on levitetty sähköpostin liitteenä varsin laajasti Necurs-bottiverkkoa hyödyntämällä. Suhtaudu varauksella tuntemattomilta lähettäjiltä tuleviin sähköpostiviesteihin. Älä klikkaa viestien epäilyttäviä liitteitä tai linkkejä auki.

Sähköpostiviestin sisältämän haitallisen liitetiedoston avaaminen käynnistää tapahtumaketjun, joka lopulta lataa ja asentaa Trickbot-pankkitroijalaisen tietokoneelle käyttäjän huomaamatta. Haittaohjelma on kohdistettu Windows -käyttöjärjestelmälle, ja se pyrkii pysymään käynnissä mm. käyttämällä Windowsin ajoitetut tehtävät -toimintoa. Haittaohjelma aktivoituu käyttäjän vieraillessa verkkopankin kirjautumissivulla. Viestintävirasto ei ole analysoinut Trickbotin toimintaa, mutta yleisesti pankkitroijalaiset pystyvät varastamaan verkkopankkitunnuksia, muokkaamaan verkkopankki-istunnon tietoja sekä näyttämään käyttäjän selaimessa väärennettyä sisältöä pankki-istunnon aikana.

Trickbot-pankkitroijalaista on levitetty jo viime syyskuusta asti. Viime viikolla nähdyn haittaohjelmaversion konfiguraatioon on kuitenkin ensimmäistä kertaa lisätty Suomessa toimivia pankkeja.

Tunnistetietoja

Alla on listattu esimerkkejä sähköpostiviesteissä käytetyistä otsikoista ja liitetiedoston nimistä (X = numero 0-9). Erilaisia variaatioita on todennäköisesti enemmänkin.

Sähköpostiviestin otsikko, liitetiedoston nimi
{XX}_Invoice_{XXXX}, {XXX}_{XXXX}.pdf, esim. 12_Invoice_1234, 123_4567.pdf
{XXXXXXXX}.pdf, {XXXXXXXX}.pdf
{tyhjä otsikko}, SCAN_{XXXX}.doc

Haittaohjelmaa levittävä sähköpostikampanja ei käsityksemme mukaan ole kohdistunut erityisesti Suomeen tai muihin Pohjoismaihin. Kyberturvallisuuskeskus ei ole saanut tietoonsa suomalaisia uhreja.


Lisätietoja:

https://blogs.forcepoint.com/security-labs/trickbot-spread-necurs-botnet-adds-nordic-countries-its-targets

https://blog.fraudwatchinternational.com/malware/trickbot-malware-works

Päivityshistoria

Asiasanat: Tietoturva , Haittaohjelma , Kyberrikollisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248