臭名昭著的Trickbot特洛伊木馬現在能夠從Web瀏覽器竊取憑據

Trickbot Streals Passwords From Browsers

在短短兩年多的時間裡,Trickbot在網絡威脅領域已從新手轉變為知名人士。由於某些原因,許多人繼續將其歸類為銀行木馬,但是實際上已經對其進行了詳細分析的人知道,它不僅限於此。

Trickbot是一個模塊化的,高度可定制的惡意軟件家族

Trickbot於2016年10月進行首次分析,被認為是創建Cutwail,Vawtrak和Pushdo的同一批網絡罪犯的工作。當它出現在現場時,這是一個相當簡單的威脅,目標金融機構數量有限。但是,大約一個月後,更新就到了,專家們很快意識到,他們手中有很嚴重的惡意軟件。在發布第一個版本的短短幾週內,Trickbot的作者已經設法將重定向和服務器端Web注入機制都包含在其木馬中。 Trickbot可能不是第一個使用這兩種技術的銀行惡意軟件,但它在首次亮相後不久就首次使用了這兩種技術。該團伙還袖手旁觀。

即使在第一個版本中,安全研究人員也看到Trickbot的設計允許輕鬆添加可以使犯罪活動多樣化的模塊。在2017年夏天,騙子實施了一個組件,該組件不僅竊取了銀行賬戶的登錄憑證,還竊取了客戶關係管理系統的登錄憑證,不久之後,他們在目標金融機構列表中添加了許多新條目。 Trickbot團伙現在正在騷擾近20個國家/地區的用戶。

在2017年7月,他們添加了一個蠕蟲模塊,該蠕蟲模塊利用了現在眾所周知的SMB協議在網絡中傳播,並且在接下來的幾個月中,他們嘗試了一些不同的組件,例如屏幕鎖模塊值得慶幸的是,它仍然是殘疾人。現在,我們有了一個具有更多功能的新版本。

Trickbot從瀏覽器和其他應用程序中抓取數據

上個月, 趨勢科技Fortinet的研究人員注意到了一些Trickbot樣本。

通常,它們是在垃圾郵件的幫助下分發的。為了引誘受害者打開附件,騙子將文件命名為“ Sep_report.xls”,然後是典型的“啟用宏以查看內容”方案。

分發後,該代碼隨後下載並運行了Trickbot木馬,但是當他們仔細觀察時,專家們看到了一個以前從未見過的模塊。它以名為“ pwgrab32”的1MB文件的形式出現。它的名稱放棄了其某些功能-竊取密碼。

當他們仔細研究新模塊時,專家們發現它可以攻擊大多數主流瀏覽器。它不僅會竊取登錄憑據,還會竊取來自Google Chrome,Mozilla Firefox和Internet Explorer的數據(在現代瀏覽器中可能包括信用卡詳細信息和其他敏感信息)。還有一種從Microsoft Edge滲出數據的機制,但是在Fortinet和趨勢科技查看數據時,該機制被禁用。取而代之的是,Trickbot的作者放置了一個組件,該組件從Microsoft的電子郵件客戶端Outlook和兩個FTP客戶端FileZilla和WinSCP抓取登錄憑據。

我們已經討論了為什麼在瀏覽器中保存登錄憑據和其他數據並不是一個好主意,並且Trickbot的新功能很好地說明了這一點。多年來,專家一直提倡使用諸如Cyclonis Password Manager之類的獨立密碼管理工具,並且您可能希望開始考慮聽取他們的建議。

但是,即使有了密碼管理器,Trickbot仍然是一個不容小threat的威脅,而新的更新表明,騙子們無意在不久的將來將其淘汰。

April 12, 2019

發表評論