Il trojan Trickbot in continua evoluzione non lascia mai la possibilità di sorprendere gli analisti della sicurezza. Questa volta il malware è passato attraverso il gateway di Proofpoint utilizzando un collegamento di Google Documenti.
Secondo i ricercatori di Cofense, gli attori delle minacce alla base della campagna di phishing hanno consegnato il Trickbot incorporato in un collegamento di Google Documenti. Poiché Google Documenti è un’applicazione affidabile e legittima, ha semplificato il lavoro ad hacker per aggirare il gateway di posta elettronica e indurre gli utenti a fare clic sul collegamento.
Una volta eseguito il payload, ne crea una copia in C: \ ProgramData, dove assume il controllo sull’esecuzione del malware. Inoltre, crea un’altra copia in “C: \ Users \ REM \ AppData \ Roaming \ speedLan” che include anche il file di configurazione per Trickbot.
