Эксперты по кибербезопасности в последнее время заметили странное поведение известного банковского троянца. Вредоносное ПО начало интересоваться данными, которые собирает монитор стабильности Windows. Эксперты не знают, зачем хакерам такая информация, но предполагают, что эти сведения будут использоваться для атак.
Новая версия известного банковского троянца TrickBot, появившегося в 2016 году, стала собирать информацию о функционировании и сбоях операционной системы Microsoft Windows. Эти данные предоставляет функция Reliability Analysis Component (RAC). Она ведет журнал о стабильности Windows, установке программного обеспечения, обновлениях, ошибках в ОС и приложениях, а также об аппаратных сбоях.
Данные агент RACAgent собирает ежечасно и сохраняет их в локальной папке C:\ProgramData\Microsoft\RAC\. Эту опцию можно отключить через «Планировщик заданий».
Эксперты считают, что собранные сведения о стабильности работы компьютера могут использоваться для фишинга. Они также могут подсказать хакерам слабые места в системе для дальнейшей атаки.
TrickBot в последнее время активно распространяется в виде поддельных сообщений от банка Lloyds Bank. Письма якобы идут с адреса donotreply@lloydsbankdocs.com, а вредоносный код содержится в макросе во вложенном файле Microsoft Word. Документ также содержит логотип антивирусной компании Symantec, чтобы убедить пользователя, что он прошел проверку на вредоносное ПО, однако как минимум 30 антивирусов идентифицируют этот файл как вредоносный.