O Trickbot é um dos malwares mais populares do setor bancário, e que visa primariamente obter dados ou informações financeiras dos utilizadores, além de agir como "dropper" de outros tipos de malware.

Este ActiveX Control foi recentemente introduzido pela Microsoft no Windows 10 como forma de ajudar os vendors a atualizarem o sistema operativo e, dessa forma, protegerem o sistema. No entanto, recentemente tem vindo a ser alvo de ataque, e usado para automaticamente executar um Macro malicioso com um downloader de OSTAP javascript ou OSTAP (JScript).

O ataque funciona a partir do envio por email de um atacante com um documento malicioso em anexo e que segue um padrão de 7 a 9 dígitos aleatórios com a extensão doc.

Normalmente o atacante esconde um controlo de ActiveX numa imagem e depois também esconde o downloader do OSTAP Javascript no documento com letras brancas. Veja-se o exemplo de um documento word em que as palavras brancas estão assinaladas a vermelho para análise:

Além disso, de forma a poderem executar o seu próprio código e, consequentemente, obterem o controlo remotamente, usam uma classe designada por MsRdpClient10NotSafeForScripting

Numa fase final, o OSTAP é criado como se fosse um ficheiro .bat, e quando executado fecha o formulário do documento de word.

Solução de prevenção para este tipo de ataque: manter o sistema operativo atualizado

Mais informações: https://www.bleepingcomputer.com/news/security/hackers-use-windows-10-rdp-activex-control-to-run-trickbot-dropper/