Новая версия TrickBot похищает информацию о стабильности работы Windows

Новая версия TrickBot похищает информацию о стабильности работы Windows

Новая версия TrickBot похищает информацию о стабильности работы Windows

Новая версия банковского трояна TrickBot, которую недавно обнаружили эксперты, имеет весьма специфическое поведение — вредонос собирает данные средства анализа стабильности системы Windows (компонент Reliability Analysis Component или RAC). Фактически это данные об инсталляциях программ, обновлениях, ошибках в работе операционной системы и приложений, а также о различных проблемах аппаратного свойства.

Для анализа стабильности системы Windows использует запланированную задачу под названием RACAgent. Запускаясь каждый час, задание сбрасывает все собранные данные в локальный каталог. В принципе, пользователь может отключить подобный сбор данных, надо только зайти в Планировщик заданий Windows (Task Scheduler).

Стоит помнить, что после отключения Монитор стабильности системы (Reliability Monitor) более не сможет отслеживать стабильность работы вашего компьютера.

Исследователи My Online Security провели анализ фишинговой кампании, который показал, что обнаруженный на прошлой неделе вариант трояна TrickBot считывает и похищает информацию о стабильности работы системы, которая находится в директории по следующему адресу — C:\ProgramData\Microsoft\RAC\.

Эксперт в области безопасности опубликовал список файлов, за которыми охотится новая версия вредоносной программы:

В новой кампании TrickBot распространяется в письмах, якобы отправленных банком Lloyds Bank (используется адрес donotreply@lloydsbankdocs.com). В качестве вложения прикреплен файл Word, в котором содержится логотип Lloyds Bank. Более того, злоумышленники даже поместили в документ логотип Symantec — дескать, «проверено, вирусов нет».

Несмотря на все усилия, данная версия уже детектируется как минимум 30 антивирусами на VirusTotal.

В WhatsApp по всему миру запустили рекламу в статусах и каналах

В WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) официально стартовал глобальный запуск рекламы в разделе «Обновления». Речь о двух форматах: Promoted Channels («Продвигаемые каналы») и рекламе в статусах. После этапа тестирования в отдельных странах разработчики объявили: теперь эти инструменты доступны по всему миру.

Весь рекламный контент сосредоточен именно во вкладке «Обновления», в личных чатах, звонках и группах ничего не меняется.

В WhatsApp подчёркивают, что личная переписка по-прежнему защищена сквозным шифрованием и не используется для таргетинга.

Реклама в статусах выглядит почти так же, как обычные статусы пользователей. Она появляется между публикациями и легко пролистывается одним свайпом, буквально за долю секунды. Если рекламодатель покажется навязчивым, его можно заблокировать или скрыть объявления через меню с тремя точками.

«Продвигаемые каналы» работают иначе: это способ для бизнеса и авторов выделиться в каталоге каналов. Такие каналы помечаются специальной меткой, чтобы было понятно, что продвижение оплачено. Например, локальная кофейня может рекламировать свой канал с сезонными предложениями, а фитнес-студия — привлекать аудиторию из своего района.

Таргетинг при этом строится на ограниченном наборе сигналов: языке, стране и взаимодействии с рекламой. Личные сообщения, звонки и активность в группах не используются для персонализации объявлений.

Новые рекламные форматы становятся доступны после обновления WhatsApp до последних версий на Android и iOS. Впрочем, как это часто бывает, развёртывание происходит постепенно, поэтому у некоторых пользователей изменения могут появиться не сразу.

RSS: Новости на портале Anti-Malware.ru