Microsoft kullanıcıları, cihazları enfekte ettikten sonra TrickBot Truva atları yükleyerek parolaları çalmak olan yeni kötü amaçlı yazılım kampanyalarının hedefi haline geliyor. Microsoft'un resmi sahte Office 365 sayfasına çok benzeyen bir görünüm, kötü amaçlı yazılım paketlerini dağıtmak için sahte bir tarayıcı güncellemesi sağlar. MalwareHunterTeam'deki uzmanlar, sayfanın olabildiğince benzer görünecek şekilde dikkatlice tasarlandığını, böylece resmi Microsoft alan adına bir bağlantı bile içerdiğini buldu.
Ancak, giriş sayfasından birkaç saniye sonra, kötü amaçlı web sitesi, kullanıcıya tarayıcıları için geçerli bir uyarı sunacak ve güncellemeyi indirip yüklemesini önerecektir. Google Chrome ve Mozilla Firefox kullanıcıları, kendileri için özel olarak tasarlanmış şaşırtıcı bir sayfa alabilirler. En sık görülen komut istemi "Chrome tarayıcısının daha eski bir sürümünü kullanıyorsunuz." Bu mesaj, web'e göz atmak için Google Chrome kullanan cihazlarda görüntülenir.
Uyarının adı, kullanılan tarayıcıya bağlı olarak Chrome Güncelleme Merkezi veya Firefox Güncelleme Merkezi'dir.
Kullanıcı "güncellemeyi" indirdikten sonra, özellikle tarayıcıda depolanan şifreleri, tarama geçmişini ve otomatik doldurma verilerini arayan TrickBot Truva atı programını devreye alacaktır. Ayrıca, yüklü programların bir listesini oluşturabilir ve cihazda çalışan Windows hizmetlerini dolaşabilir ve ardından çalınan tüm bilgileri sunucuya aktarabilir.Kötü amaçlı yazılımlar, algılanmayı önlemek için Windows svchost.exe işlemine yüklenir ve bu da kullanıcıların manuel olarak yapmasına olanak tanır Kötü niyetli işlemleri kontrol etmek daha zordur, ancak antivirüs çözümleri bunu durdurabilmelidir.