Trickbot恶意软件具有新的保护套:以冠状病毒为主题的样本愚蠢的安全产品和目标电信公司

Trickbot Coronavirus-Themed Samples

早在2016年,Trickbot就以卑鄙的银行木马开始了它的生活,但很快就发现它远远不止于此。现在,将近四年之后,可以肯定地说它是世界上使用最广泛的恶意软件家族,而且没有任何迹象表明网络犯罪分子会很快放弃它。

它的主要吸引力在于其多功能性,这来自其模块化设计。恶意软件创建者可以开发和添加插件,并容易地使木马执行各种任务。同时,通过一些调整,Trickbot可以变得更隐蔽并且非常难以删除。安全研究人员最近发现的样本表明了网络犯罪分子为何如此喜欢它。

Trickbot样本使用围绕冠状病毒爆发的恐慌来逃避安全解决方案

像许多其他恶意软件家族一样,Trickbot在其广告系列中使用了当前的冠状病毒大流行。但是,与其他帮派不同,Trickbot操作人员不会利用疫情来欺骗受害者打开文件或单击链接。这次,冠状病毒在欺骗计算机方面发挥了作用。

据安全新闻网站Bleeping Computer称 ,最近,犯罪分子对恶意软件的加密程序进行了更改,该程序旨在加密可执行文件的代码并使其看起来合法。研究人员浏览了新文件的属性,发现冠状病毒新闻报道中的字符串位于“文件描述”,“产品名称”和“版权”等字段中。

这看起来很奇怪。毕竟,可悲的事实是普通用户不太可能在启动文件之前先研究这么多细节的未知文件,即使这样做,很有可能会被如下所示的“属性”页面所迷惑。所有这些背后都有方法。

SentinelLabs的Vitali Kremez告诉Bleeping Computer,这很可能是一种检测逃避技术。显然,Trickbot操作员在过去使用过它,它对于依赖人工智能和机器学习的安全解决方案似乎特别有效。

这些新增加的内容表明,Trickbot的运营商决心成功地破坏其目标。顺便说一下,这也得到了本月初Bitdefender进行的无关研究的支持。

Trickbot通过RDP攻击目标

1月下旬,Bitdefender的研究人员正在监视Trickbot的行为,他们注意到骗子正在推动更新。有一种专家从未见过的新模型。一些功能无法正常运行,这表明该更新仍在进行中,但是尽管如此,它确实使专家了解了骗子的未来计划。

成功感染后,将从许多可用的命令与控制(C&C)服务器之一中下载新模块以及配置文件。 Trickbot会收到目标列表,其首要任务是查看目标是否启用了远程桌面协议(RDP)服务。如果目标确实具有开放的RDP,则其名称将通过POST请求发送回C&C。服务器以一组用户名和密码作为响应,Trickbot使用这些用户名和密码来尝试强行闯入并破坏目标组织。

很难说新模块是否已在野外使用。但是,根据目标防御者的名单,Bitdefender的研究人员很快就可以将其发布给美国和香港的电信公司。骗子还可能将目光投向金融部门的公司以及从事教育和科学研究的组织。

这两个新增加的内容是Trickbot的操作员已添加到其恶意软件的非常长的更新中的最新更新。我们只能猜测特洛伊木马下一步将采取什么方向,但是我们可以肯定的是,它仍将是网络犯罪分子的最爱。

March 19, 2020

发表评论