Trickbot惡意軟件的保護套有了新的提高:以冠狀病毒為主題的樣本愚蠢的安全產品和目標電信公司

Trickbot Coronavirus-Themed Samples

早在2016年,Trickbot就以卑鄙的銀行木馬開始了它的生活,但很快就發現它遠遠不止於此。現在,將近四年之後,可以肯定地說它是世界上使用最廣泛的惡意軟件家族,而且沒有任何跡象表明網絡犯罪分子會很快放棄它。

它的主要吸引力在於其多功能性,這來自其模塊化設計。惡意軟件創建者可以開發和添加插件,並容易地使木馬執行各種任務。同時,通過一些調整,Trickbot可以變得更隱身並且極其難以刪除。安全研究人員最近發現的樣本表明了網絡犯罪分子為何如此喜歡它。

Trickbot樣本使用圍繞冠狀病毒爆發的恐慌來逃避安全解決方案

像許多其他惡意軟件家族一樣,Trickbot在其廣告系列中使用了當前的冠狀病毒大流行。但是,與其他幫派不同,Trickbot操作人員不會利用疫情來欺騙受害者打開文件或單擊鏈接。這次,冠狀病毒在欺騙計算機方面發揮了作用。

據安全新聞網站Bleeping Computer稱,最近,犯罪分子對惡意軟件的加密程序進行了更改,該程序旨在加密可執行文件的代碼並使其看起來合法。研究人員瀏覽了新文件的屬性,發現冠狀病毒新聞報導中的字符串位於“文件描述”,“產品名稱”和“版權”等字段中。

這看起來很奇怪。畢竟,可悲的事實是普通用戶不太可能在啟動文件之前先研究這麼多細節的未知文件,即使這樣做,很有可能會被如下所示的“屬性”頁面所迷惑。所有這些背後都有方法。

SentinelLabs的Vitali Kremez告訴Bleeping Computer,這很可能是一種檢測逃避技術。顯然,Trickbot操作員在過去使用過它,它對於依賴人工智能和機器學習的安全解決方案似乎特別有效。

這些新增加的內容表明,Trickbot的運營商決心成功地破壞其目標。順便說一下,這也得到了本月初Bitdefender進行的無關研究的支持。

Trickbot通過RDP攻擊目標

1月下旬,Bitdefender的研究人員正在監視Trickbot的行為,他們發現騙子正在推動更新。有一種專家從未見過的新模型。一些功能無法正常運行,這表明該更新仍在進行中,但是儘管如此,它確實使專家了解了騙子的未來計劃。

成功感染後,將從許多可用的命令與控制(C&C)服務器之一中下載新模塊以及配置文件。 Trickbot會收到目標列表,其首要任務是查看目標是否啟用了遠程桌面協議(RDP)服務。如果目標確實具有開放的RDP,則其名稱將通過POST請求發送回C&C。服務器以一組用戶名和密碼作為響應,Trickbot使用這些用戶名和密碼嘗試強行闖入並破壞目標組織。

很難說新模塊是否已在野外使用。但是,根據目標防御者的名單,Bitdefender的研究人員可以很快將其發布給美國和香港的電信公司。騙子還可能將目光投向金融部門的公司以及從事教育和科學研究的組織。

這兩個新增加的內容是Trickbot的操作員已添加到其惡意軟件的非常長的更新中的最新更新。我們只能猜測特洛伊木馬下一步將採取什麼方向,但是我們可以肯定的是,它會繼續受到網絡犯罪分子的青睞。

March 19, 2020

發表評論