Эксперты по безопасности обнаружили, что новая версия известного банковского троянца TrickBot, появившегося в 2016 г., стала собирать несколько неожиданный тип данных: информацию о функционировании и сбоях операционной системы Microsoft Windows.
В Windows присутствует специализированная функция Reliability Analysis Component («Средство анализа стабильности»), которая снабжает монитор стабильности Windows сведениями об установке ПО, обновлениях, ошибках в ОС и приложениях, а также об аппаратных сбоях.
Средство анализа стабильности запускают своего агента RACAgent, который каждый час собирает все эти данные и сохраняет их в локальной папке C:\ProgramData\Microsoft\RAC\. Данную опцию можно отключать через «Планировщик заданий» (Task Scheduler), однако это скажется на функционировании монитора стабильности.
Эксперты My Online Security обнаружили, что троянец TrickBot стал проявлять нездоровый интерес к этим данным. Что именно злоумышленники собираются с ними делать, пока не понятно.