Исследователи кибербезопасности VMware сообщили , что в мае 2023 года наблюдался всплеск активности загрузчика TrueBot. Цепочка атак начинается с загрузки исполняемого файла ” update.exe ” из Google Chrome, что позволяет предположить, что пользователей заманивают на загрузку вредоносного ПО под предлогом обновления ПО.
После запуска “update.exe” устанавливает соединение с известным IP-адресом TrueBot, расположенным в России, для получения исполняемого файла второго этапа (“3ujwy2rz7v.exe”), который впоследствии запускается с помощью командной строки Windows. Загруженный исполняемый файл подключается к C2-серверу и извлекает конфиденциальную информацию с хоста. Файл также обладает функцией перечисления процессов и систем.
Цепочка заражений TrueBot
Основная функция TrueBot – собирать информацию с хоста и развертывать полезные нагрузки следующего этапа, такие как Cobalt Strike, троян FlawedGrace и ранее неизвестную утилиту для эксфильтрации данных
Teleport также ограничивает скорость загрузки и размер файлов, в результате чего передача данных не обнаруживается программами для мониторинга. Кроме того, Teleport может стереть следы своего присутствия с машины.