Aanvallers maken gebruik van e-mails met corona-gerelateerde onderwerpen en JNLP-bestanden als bijlage om de Trickbot-malware te verspreiden. Deze malware kan weer aanvullende malware op systemen installeren en was in het verleden voor verschillende grote ransomware-uitbraken verantwoordelijk.
De aanval begint met een e-mail die als onderwerp "coronavirus COVID-19 payment application form" heeft. Volgens het bericht komt de ontvanger vanwege de coronacrisis in aanmerking voor steungelden. Meer informatie zou in de meegestuurde JNLP-bestanden te vinden zijn.
JNLP staat voor Java Network Launch Protocol. Het bestandsformaat kan Java-programma's gehost op een remote server op de client machine starten. Voorwaarde is wel dat Java op de client is geïnstalleerd. Zodra de gebruiker het JNLP-bestand opent wordt er een coronakaart van de WHO-website geladen. In de achtergrond wordt vervolgens de Trickbot-malware gedownload en geïnstalleerd.
Om ervoor te zorgen dat de malware ook bij een herstart van het systeem wordt geladen maakt Trickbot in de startup folder de map "SpotifyMusic" aan die een kopie van de malware bevat. Volgens securitybedrijf Trustwave wordt Trickbot vaak verspreid via Microsoft Office-documenten met kwaadaardige macro's. "Dit is de eerste keer dat we zien dat Trickbot JNLP-bestanden als downloader gebruikt. Het gebruik van JNLP-bestanden als e-mailbijlage om malware te verspreiden is niet gebruikelijk", zegt analist Diana Lopera.
Ook volgens securitybedrijf Cofense is de gebruikte methode door Trickbot zeer bijzonder. "Het gebruik van het coronavirus als lokaas en een ongewoon bestandstype om e-mailgateways te omzeilen en het is niet lastig voor te stellen dat dit een zeer effectieve campagne kan zijn", merkt analist Jason Meurer op.
Deze posting is gelocked. Reageren is niet meer mogelijk.