Експерти з кібербезпеки останнім часом помітили дивну поведінку відомого банківського троянця. Зловмисне програмне забезпечення почало цікавитися даними, які збирає монітор стабільності Windows. Експерти не знають, навіщо хакерам така інформація, але припускають, що ці відомості будуть використовуватися для атак.
Нова версія відомого банківського троянця TrickBot, що з’явився у 2016 році, стала збирати інформацію про функціонування та збої операційної системи Microsoft Windows. Ці дані надає функція Reliability Analysis Component (RAC). Вона веде журнал про стабільність Windows, встановлення програмного забезпечення, оновлення, помилки в ОС і додатках, а також про апаратні збої.
Дані агент RACAgent збирає щогодини і зберігає їх у локальній папці C:\ProgramData\Microsoft\RAC\. Цю опцію можна відключити через «Планувальник завдань».
Експерти вважають, що зібрані відомості про стабільність роботи комп’ютера можуть використовуватися для фішингу. Вони також можуть підказати хакерам слабкі місця в системі для подальшої атаки.
TrickBot останнім часом активно поширюється у вигляді фальшивих повідомлень від банку Lloyds Bank. Листи нібито виходять з адреси donotreply@lloydsbankdocs.com, а шкідливий код міститься в макросі у вкладеному файлі Microsoft Word. Документ також містить логотип антивірусної компанії Symantec, щоб переконати користувача, що він пройшов перевірку на шкідливе ПЗ, проте як мінімум 30 антивірусів ідентифікують цей файл як шкідливий.