Spletna stran je izdelana zelo prepričljivo, saj povezave na njej kažejo na prave Microsoftove domene. Edina razlika je v tem, da se nekaj sekund po odprtju strani prikaže opozorilno okno, ki uporabnika obvešča, da ima nameščeno staro različico brskalnika (Chrome ali Firefox) in da jo je za varno delo z Office 365 potrebno nadgraditi na različico, ki naj bi izšla 17. julija. Če uporabnik kline na nadgradnjo, se zažene program, katerega izvršna datoteka nosi ime upd365_58v01.exe. Brskalnik se seveda ne nadgradi, se pa okuži proces svchost.exe, ki začne komunicirati s strežnikom C2 in tam zaganjati različne module. Eden takšnih je recimo systeminfo64, ki iz uporabnikovega računalnika razbere informacije o njem, prebere seznam nameščenih aplikacij in seznam zagnanih storitev Windows. Še bolj zoprn je modul pwgrab64, ki krade uporabnikove prijavne podatke, zgodovino brskanja, samozapolnitvene informacije in podobno. Torej ne gre za nedolžne stvari...
Če se vam torej odpre spodnje okno nikar ne kliknite na gumb za nadgradnjo. Okno zaprite in izvedite varnostni pregled vaše naprave.
In še eno pravilo – brskalnika nikoli ne nadgrajujte preko povezav, ki se prikažejo ob obisku kakšne spletne strani, saj gre skoraj zagotovo za prevaro. Nadgradnjo izvedite le v primeru, da vas o njej obvesti sistem za nadgradnjo brskalnika ali pa če ste nanjo naleteli ob ročne pregledovanju za nadgradnjami.
https://get-office365[.]live/ -> https://get-office365[.]live/files/upd365_58v01.exe (fd97342e1968aed9d8f50468d3b7b7868981d9d360b2f049b6706e72d8184e3f - TrickBot looks)
— MalwareHunterTeam (@malwrhunterteam) 17 July 2019
Sectigo cert for the domain, DigiCert cert for payload (see thread: https://t.co/4bfybAGQaO)...
cc @VK_Intel pic.twitter.com/moxdgx9Vdp
Vir: MalwareHunterTeam/Twitter