首页 > 安全 > 正文

Trickbot针对60个高调公司的客户

最后更新 :2022.02.24

Trickbot Malware是针对60家金融和技术公司的客户,具有新的反分析功能。

臭名昭着的Trickbot恶意软件受雇于攻击60家金融和技术公司客户的攻击,具有新的反分析功能。针对加密货币公司的攻击的新闻浪潮,其中大多数位于美国。

Trickbot是一种复杂的,模块化恶意软件,检查点研究人员已经观察到了20多个模块,使运营商营造出广泛的恶意。活动。

现在我们看到恶意软件在选择目标的方式非常有选择。各种技巧 - 包括反分析 - 在模块内实施,显示了作者的高度技术背景,并解释了为什么TrickBot仍然是一个非常普遍的恶意软件家庭。通过检查点公布的分析。 大多数感染在APAC(3.3%)和拉丁amer中观察到ICA地区(2.1%)。

Trickbot运算符已有持续增强他们的策略避免检测并定位最大的银行用户数量。

专家分析的变体利用 injectdll模块执行Web注入,允许运营商窃取银行和凭据数据。该模块还实现了几种反分析技术,例如崩溃的选项卡处理,以防止源代码的审查。

僵尸网络运营商使用的另一个反分析技术可防止研究人员向命令发送自动请求-Control服务器以获得新的Web-injects。

研究人员分析的另一个模块是用于抓取用户凭据并通过网络共享传播恶意软件的TabD10模块。下面是获取凭据的过程:

使存储在LSASS应用程序中的用户凭据信息。

注入“储物柜”模块进入“Explorer.exe”应用程序。

从受感染的“Explorer.exe”中,强制用户将登录凭据输入应用程序,然后锁定用户的会话。

凭据是现在存储在LSASS应用程序存储器中。使用“&nbsp”从LSAS应用程序存储器抓取凭证; Mimikatz 技术。恶意软件使用ETEREROMANCE EXPLOIT通过SMBV1网络共享传播。[ trickbot使用的另一个模块是pwgrabc,它允许恶意软件从流行的应用程序和Web浏览器中窃取密码,包括Chrome,Internet Explorer,Edge,Outlook,FileZilla,WinSCP,RDP,Putty,OpenSSH,OpenVPN和TeamViewer。

Trickbot攻击高调的受害者窃取凭证并提供其运营商访问门户网站,其中包含可能导致的敏感数据伤害更大。同时,从我们以前的研究中,我们知道运营商BEGInd,基础架构非常经验丰富,非常高水平的恶意软件开发。总结研究人员。在Takedown之后,这两个因素的组合已经导致了超过140,000名受害者,几次1 Trickbot tactics St
 在一年内与博物情普遍存在列表的排名和与情感合作。

- END -

看更多