Находку сделали исследователи по безопасности из Forcepoint. По их данным, TrickBot может накладывать поддельную страницу входа в систему, когда пользователь заходит на Coinbase через свой браузер. Заполучив пользовательские данные для входа в аккаунт, мошенники переводят криптовалюту с кошельков жертв на свои собственные, передает Forklog.
Троян был впервые обнаружен еще в 2016 году, и тогда его целью были данные онлайн-банкинга. На сегодняшний день может заражать устройства пользователей и накладывать поддельные страницы входа на банковские порталы более чем в десяти странах.
В июне 2017 года троян нацелился на счета в PayPal и страницы входа нескольких известных CRM-систем. Новая версия TrickBot с «поддержкой криптовалют» была обнаружена в конце августа и содержалась в документах, прикрепленных к спам-рассылке якобы от имени Canadian Imperial Bank of Commerce.
Интерес онлайн-мошенников вполне очевиден: Coinbase является самым популярным в мире криптовалютным кошельком и поддерживает биткоин, Ethereum и Litecoin.