D’après Trend Micro, publié le 3 mai 2019
Trend Micro découvre une variante du cheval de Troie bancaire Trickbot
Détecté par Trend Micro sous le nom TrojanSpy.Win32.TRICKBOT.THDEAI utilisant une URL de redirection dans un e-mail spam. Dans ce cas particulier, la variante utilisait Google pour rediriger l’URL hxxps://google[.]dm:443/url?q=<trickbot downloader>, l’URL dans la chaîne de requête, url?q=<url>, est l’URL malveillante vers laquelle l’utilisateur est redirigé. L’URL de redirection est un moyen de contourner les filtres anti-spam qui peuvent bloquer Trickbot au début.
À première vue, le courriel spam pourrait passer pour légitime, même en ajoutant des icônes de médias sociaux pour faire bonne mesure. Le contenu indique une commande traitée qui est prête à être expédiée. Le courrier est ensuite détaillé avec le numéro de fret du colis, l’avis de non-responsabilité de livraison et les coordonnées du vendeur. Les cybercriminels ont utilisé l’URL de redirection de Google dans le courriel pour tromper les utilisateurs involontaires et détourner de l’intention réelle des hyperliens.
