臭名昭着的Trickbot特洛伊木马现在能够从Web浏览器窃取凭据

Trickbot Streals Passwords From Browsers

在短短两年多的时间里,Trickbot已经从在线威胁领域从新手转变为知名品牌。出于某种原因,许多人继续将其归类为银行木马,但实际上对其进行详细分析的人知道它不仅仅是这个。

Trickbot是一个模块化,高度可定制的恶意软件系列

2016年10月首次分析,Trickbot被认为是创建Cutwail,Vawtrak和Pushdo的同一网络犯罪分子的工作。当它出现在现场时,对于有限数量的目标金融机构而言,这是一个相当简单的威胁。然而,大约一个月后更新到了,专家很快意识到他们手上有一堆严重的恶意软件。在发布第一个版本的短短几周内,Trickbot的作者已经设法将重定向和服务器端Web注入机制包含在他们的木马中。 Trickbot可能不是第一个使用这两种技术的银行恶意软件,但它是第一次在首次亮相后很快就这样做。这帮人的袖子上还有其他一些伎俩。

即使在第一版中,安全研究人员也发现Trickbot的设计允许轻松添加可以使其犯罪活动多样化的模块。在2017年夏天,骗子实施了一个组件,不仅为银行账户窃取登录凭证,而且还为客户关系管理系统窃取了登录凭证,不久之后,他们在目标金融机构列表中添加了许多新条目。 Trickbot团伙现在在近二十个国家骚扰用户。

2017年7月,他们添加了一个蠕虫模块,利用现在臭名昭着的SMB协议在网络中传播,在接下来的几个月里,他们尝试了一些不同的组件,例如屏幕锁定模块,幸运的是仍然残疾。现在,我们有了一个具有更多功能的新版本。

Trickbot从浏览器和其他应用程序中删除数据

上个月, 趋势科技Fortinet的研究人员发现了一些飞来飞去的Trickbot样本。

通常情况下,它们是在垃圾邮件的帮助下分发的。为了引诱受害者打开附件,骗子将文件命名为“Sep_report.xls”,接下来是典型的“启用查看内容的宏”场景。

分发后,代码然后下载并运行Trickbot木马,但当他们仔细观察时,专家们看到了他们以前从未见过的模块。它以1MB文件的形式出现,名为“pwgrab32”。它的名字提供了一些功能 - 窃取密码。

当他们仔细研究新模块时,专家们发现它可以攻击大多数主流浏览器。它不仅可以窃取登录凭据,还可以窃取来自Google Chrome,Mozilla Firefox和Internet Explorer的自动填充数据(在现代浏览器中,可以包含信用卡详细信息和其他敏感信息)。还有一种从Microsoft Edge中过滤数据的机制,但是当Fortinet和趋势科技看到它时它被禁用了. 取而代之的是,Trickbot的作者放置了一个组件,用于从微软的电子邮件客户端Outlook以及几个FTP客户端(FileZilla和WinSCP)中获取登录凭据。

我们已经讨论过为什么在浏览器中保存登录凭据和其他数据并不是一个好主意,而Trickbot的新功能很好地说明了这一点。多年来,专家一直主张使用独立的密码管理工具,如Cyclonis Password Manager ,您可能想开始考虑听取他们的意见。

然而,即使使用密码管理器,Trickbot仍然是一个不可忽视的威胁,新的更新显示骗子无意很快就会退休。

April 12, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
5 + 3是什么?