Хакерите неизвестно защо започнаха да събират данните за сривовете в компютрите

Експертите по кибербезопасност последно време забелязаха странно поведение на известен банков троянец. Вредоносната програма се интересува от данните, които събира Reliability Monitor. Експертите не знаят за какво хакерите събират тази информация, но предполагат, че информацията ще се използва за осъществяването на нов тип атаки.

Това е нова версия на банковия троянец TrickBot, който се появи през 2016 година. Но новата модификация събира информацията за функционирането и сривовете на операционната система Windows. Тези данни предоставя функцията Reliability Analysis Component (RAC), която записва лог файл за стабилността на Windows, инсталирания софтуер, обновяванията, грешките на ОС и приложенията, както и за хардуерните сривове.

Функцията RACAgent всеки час прочита тези данни и ги записва в локалната папка C:ProgramDataMicrosoftRAC.

Специалистите по информационна сигурност са на мнение, че тази информация е удобно да се използва за фишинг. Тя би могла да подскаже на хакерите слабите места на компютърната система, позволяващи изпълнението на мощни атаки.

Последно време TrickBot се разпространява предимно като фалшив имейл от банката Lloyds Bank. Писмата уж идват от адрес donotreply@lloydsbankdocs.com, а вредоносния код е включен в макроса на прикачения Word файл. Документът включва и логотипа на антивирусната програма Symantec, който убеждава потребителите, че файлът е проверен за вируси.