به گفته این شرکت بر خلاف نسخههای پیشین این بدافزار که مشتریان بانکها و مؤسسات مالی را هدف قرار میدادهاند این نسخه خاص بر روی سرقتپولهای دیجیتال تمرکز دارد.
به گزارش شرکت Forcepoint Security Labs، در این کارزار، هرزنامههایی که در ظاهر از سوی یک بانک کانادایی ارسال شدهاند با بهرهگیری از تکنیکهای مهندسی اجتماعی کاربر را تشویق به باز کردن فایل Word پیوست شده به هرزنامه میکنند.
در زمان باز شدن فایل Word نیز اینطور وانمود میشود که به دلیل قدیمی بودن نسخه نرمافزاری که فایل در آن ایجاد شده، کاربر میبایست بخش ماکرو را فعال کند.
با فعال شدن این بخش در نرمافزار Word، کد مخرب تزریق شده در ماکرو نسخهای جدید از بدافزار Trickbot را از سرور فرماندهی مهاجمان دریافت کرده و آن را بر روی دستگاه قربانی اجرا میکند.
درادامه بدافزار دستگاه را با هدف یافتن اطلاعات اصالتسنجی سایت Coinbase – یکی از بزرگترین سرویسدهندگان خدمات کیفهای دیجیتال پویش کرده و در صورت شناسایی آنها اقدام به سرقت اطلاعات جمعآوری شده میکند.
توضیح اینکه فایل دریافتکننده اشاره شده در این گزارش توسط ضدویروسهای McAfee و Bitdefender بترتیب با نامهای W97M/Downloader.cfp و W97M.Downloader.GER شناسایی میشوند.
موسسه نرم افزاری ترسیم رایانه شرق