臭名昭著的Trickbot特洛伊木馬現在能夠從Web瀏覽器竊取憑據

Trickbot Streals Passwords From Browsers

在短短兩年多的時間裡,Trickbot已經從在線威脅領域從新手轉變為知名品牌。出於某種原因,許多人繼續將其歸類為銀行木馬,但實際上對其進行詳細分析的人知道它不僅僅是這個。

Trickbot是一個模塊化,高度可定制的惡意軟件系列

2016年10月首次分析,Trickbot被認為是創建Cutwail,Vawtrak和Pushdo的同一網絡犯罪分子的工作。當它出現在現場時,對於有限數量的目標金融機構而言,這是一個相當簡單的威脅。然而,大約一個月後更新到了,專家很快意識到他們手上有一堆嚴重的惡意軟件。在發布第一個版本的短短幾週內,Trickbot的作者已經設法將重定向和服務器端Web注入機制包含在他們的木馬中。 Trickbot可能不是第一個使用這兩種技術的銀行惡意軟件,但它是第一次在首次亮相後很快就這樣做。這幫人的袖子上還有其他一些伎倆。

即使在第一版中,安全研究人員也發現Trickbot的設計允許輕鬆添加可以使其犯罪活動多樣化的模塊。在2017年夏天,騙子實施了一個組件,不僅為銀行賬戶竊取登錄憑證,而且還為客戶關係管理系統竊取了登錄憑證,不久之後,他們在目標金融機構列表中添加了許多新條目。 Trickbot團伙現在在近二十個國家騷擾用戶。

2017年7月,他們添加了一個蠕蟲模塊,利用現在臭名昭著的SMB協議在網絡中傳播,在接下來的幾個月裡,他們嘗試了一些不同的組件,例如屏幕鎖定模塊,幸運的是仍然殘疾。現在,我們有了一個具有更多功能的新版本。

Trickbot從瀏覽器和其他應用程序中刪除數據

上個月, 趨勢科技Fortinet的研究人員發現了一些飛來飛去的Trickbot樣本。

通常情況下,它們是在垃圾郵件的幫助下分發的。為了引誘受害者打開附件,騙子將文件命名為“Sep_report.xls”,接下來是典型的“啟用查看內容的宏”場景。

分發後,代碼然後下載並運行Trickbot木馬,但當他們仔細觀察時,專家們看到了他們以前從未見過的模塊。它以1MB文件的形式出現,名為“pwgrab32”。它的名字提供了一些功能 - 竊取密碼。

當他們仔細研究新模塊時,專家們發現它可以攻擊大多數主流瀏覽器。它不僅可以竊取登錄憑據,還可以竊取來自Google Chrome,Mozilla Firefox和Internet Explorer的自動填充數據(在現代瀏覽器中,可以包含信用卡詳細信息和其他敏感信息)。還有一種從Microsoft Edge中過濾數據的機制,但是當Fortinet和趨勢科技看到它時它被禁用了. 取而代之的是,Trickbot的作者放置了一個組件,用於從微軟的電子郵件客戶端Outlook以及幾個FTP客戶端(FileZilla和WinSCP)中獲取登錄憑據。

我們已經討論過為什麼在瀏覽器中保存登錄憑據和其他數據並不是一個好主意,而Trickbot的新功能很好地說明了這一點。多年來,專家一直主張使用獨立的密碼管理工具,如Cyclonis Password Manager ,您可能想開始考慮聽取他們的意見。

然而,即使使用密碼管理器,Trickbot仍然是一個不可忽視的威脅,新的更新顯示騙子無意很快就會退休。

April 12, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
3 + 6是什麼?