De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security waarschuwen voor een aanvalscampagne waarbij een zogenaamde verkeersovertreding wordt gebruikt voor het stelen van gevoelige informatie en het verspreiden van ransomware.

De aanval begint met een e-mail die stelt dat de ontvanger een verkeersovertreding heeft begaan. De e-mail bevat een link die naar een website wijst waar een foto van de overtreding te vinden zou zijn. Het "fotobewijs" dat wordt aangeboden is in werkelijkheid een kwaadaardig JavaScript-bestand, dat wanneer geopend de TrickBot-malware op het systeem downloadt.

TrickBot kan allerlei inloggegevens op het besmette systeem stelen, waaronder van RDP, PuTTY, Outlook, Filezilla, OpenSSH, OpenVPN, WinSCP, VNC, Google Chrome, Mozilla Firefox, Internet Explorer en Microsoft Edge, en andere systemen in het netwerk infecteren. Daarnaast wordt TrickBot ook gebruikt voor de installatie van andere malware, zoals de Ryuk-ransomware.

In de waarschuwing over de aanval geven de FBI en het CISA verschillende tips om besmettingen te voorkomen, zoals het trainen van het personeel over social engineering en phishing, het opstellen van beleid zodat alle verdachte e-mails bij de it-afdeling worden gemeld en het instellen van een firewall die ongevraagde verbindingen blokkeert.