臭名昭着的Trickbot特洛伊木马现在能够从Web浏览器窃取凭据

Trickbot Streals Passwords From Browsers

在短短两年多的时间里,Trickbot在网络威胁领域已从新手转变为知名人士。由于某些原因,许多人继续将其归类为银行木马,但是实际上已经对其进行了详细分析的人知道,它不仅限于此。

Trickbot是一个模块化的,高度可定制的恶意软件家族

Trickbot于2016年10月进行首次分析,被认为是创建Cutwail,Vawtrak和Pushdo的同一批网络罪犯的工作。当它出现在现场时,这是一个相当简单的威胁,目标金融机构数量有限。但是,大约一个月后,更新就到了,专家们很快意识到,他们手中有很严重的恶意软件。在发布第一个版本的短短几周内,Trickbot的作者已经设法将重定向和服务器端Web注入机制都包含在其木马中。 Trickbot可能不是第一个使用这两种技术的银行恶意软件,但它在首次亮相后不久就首次使用了这两种技术。该团伙还袖手旁观。

即使在第一个版本中,安全研究人员也看到Trickbot的设计允许轻松添加可以使犯罪活动多样化的模块。在2017年夏天,骗子实施了一个组件,该组件不仅窃取了银行账户的登录凭证,还窃取了客户关系管理系统的登录凭证,不久之后,他们在目标金融机构列表中添加了许多新条目。 Trickbot团伙现在正在骚扰近20个国家/地区的用户。

在2017年7月,他们添加了一个蠕虫模块,该蠕虫模块利用了现在众所周知的SMB协议在网络中传播,并且在接下来的几个月中,他们尝试了一些不同的组件,例如屏幕锁模块值得庆幸的是,它仍然是残疾人。现在,我们有了一个具有更多功能的新版本。

Trickbot从浏览器和其他应用程序中抓取数据

上个月, 趋势科技Fortinet的研究人员注意到了一些Trickbot样本。

通常,它们是在垃圾邮件的帮助下分发的。为了引诱受害者打开附件,骗子将文件命名为“ Sep_report.xls”,然后是典型的“启用宏以查看内容”方案。

分发后,该代码随后下载并运行了Trickbot木马,但是当他们仔细观察时,专家们看到了一个以前从未见过的模块。它以名为“ pwgrab32”的1MB文件的形式出现。它的名称放弃了其某些功能-窃取密码。

当他们仔细研究新模块时,专家们发现它可以攻击大多数主流浏览器。它不仅会窃取登录凭据,还会从Google Chrome,Mozilla Firefox和Internet Explorer自动填充数据(在现代浏览器中可能包含信用卡详细信息和其他敏感信息)。还有一种从Microsoft Edge渗出数据的机制,但是在Fortinet和趋势科技查看数据时,该机制被禁用。取而代之的是,Trickbot的作者放置了一个组件,该组件从Microsoft的电子邮件客户端Outlook和两个FTP客户端FileZilla和WinSCP抓取登录凭据。

我们已经讨论了为什么在浏览器中保存登录凭据和其他数据不是一个好主意,并且Trickbot的新功能很好地说明了这一点。多年来,专家一直提倡使用诸如Cyclonis Password Manager之类的独立密码管理工具,并且您可能希望开始考虑听取他们的建议。

但是,即使有了密码管理器,Trickbot仍然是一个不容小threat的威胁,而新的更新表明,骗子们无意在不久的将来将其淘汰。

April 12, 2019

发表评论