Trickbot展示新“才艺”:密码抓取

Trickbot展示新“才艺”:密码抓取

Trickbot曾经是一个“经久不衰”的银行特洛伊木马。随着时间的推移,网络犯罪分子为此恶意软件赋予了更多的功能。

Trickbot恶意软件

TrickBot于2016年首次被发现,据信它基于Dyreza银行木马。它能够使用webinjects模块定位和感染各种各样的国际银行,在目标Web浏览器中呈现之前将JavaScript和HTML代码注入网站。

TrickBot攻击主要目的是盗取钱财,如银行账号、比特币账号。一般伪装成如汇丰银行、花旗银行、合众银行等银行相关文档作为邮件附件,文档内容仿真度高,很难辨真假。用户一旦打开该文档,会自动执行恶意代码,利用Office漏洞下载TrickBot恶意软件。

Trickbot展示新“才艺”:密码抓取

Trickbot恶意软件通过恶意广告活动感染目标,但它也可以使用类似蠕虫的自动传播方法进行自我传播。Trickbot同时也是一种模块化的恶意软件,包含了多种不同功能的模块。

Pwgrab32模块

去年三月,Trickbot 增加了一个新模块,增加了检测规避和屏幕锁定功能。这个月,研究人员又发现了Trickbot(被趋势科技检测为TSPY_TRICKBOT.THOIBEAI)现在拥有一个密码管理器模块(pwgrab32),可以窃取多个应用程序和浏览器的访问权限,如Microsoft Outlook、Filezilla、WinSCP、Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge。根据趋势科技的遥测技术,研究人员发现这个Trickbot变种主要影响美国、加拿大和菲律宾的用户。

恶意软件开发者继续使用Trickbot的模块化结构——它能够通过从C&C服务器下载新模块不断更新自身,并更改其配置,以便“进化”为更成熟的恶意软件。Trickbot的新模块,名为pwgrab32或PasswordGrabber,它能够窃取Filezilla、Microsoft Outlook和WinSCP等应用程序的凭据信息。

Trickbot展示新“才艺”:密码抓取

图1.受影响系统中Trickbot新模块pwgrab32

Trickbot展示新“才艺”:密码抓取

图2.从FileZilla窃取FTP密码的新模块代码

Trickbot展示新“才艺”:密码抓取

图3.窃取Microsoft Outlook凭据的新模块代码

Trickbot展示新“才艺”:密码抓取

图4.从开源FTP WinSCP获取密码

除了窃取应用程序的凭据外,它还能从几款市面上流行的Web浏览器,如Google Chrome、Mozilla Firefox、Internet Explorer和Microsoft Edge中窃取以下信息:

用户名和密码;

互联网Cookies;

浏览记录;

自动填充内容;

HTTP Posts。

Trickbot展示新“才艺”:密码抓取

图5. Trickbot代码,其结构是从流行的Web浏览器窃取密码

应该注意的是,这个Trickbot变种无法从第三方密码管理器应用程序中窃取密码。研究人员目前正在进一步研究这个恶意软件,看看它是否能够从密码管理器的浏览器插件中窃取密码。

Trickbot的其他功能也值得关注

Trickbot通常通过垃圾邮件活动进行分发,该恶意软件通过执行某些命令和修改注册表项来禁用Microsoft内置的防病毒程序Windows Defender。

此外,它还会终止与Windows Defender相关的进程,如MSASCuil.exe,MSASCui.exe和反间谍软件实用程序Msmpeng.exe。它具备的自动启动机制(Msntcs),会在系统启动时触发,并在首次执行后每十分钟触发一次。

Trickbot禁用的反恶意软件服务如下:

1.MBamService(Malwarebytes相关进程);

2.SAVService(Sophos AV相关进程);

3.它的反分析功能会检查系统并在找发现某些模块时自行终止,如pstorec.dll、vmcheck.dll、wpespy.dll和dbghelp.dll。

妥协指标

Trickbot C&C 服务器:

103[.]10[.]145[.]197:449

103[.]110[.]91[.]118:449

103[.]111[.]53[.]126:449

107[.]173[.]102[.]231:443

107[.]175[.]127[.]147:443

115[.]78[.]3[.]170:443

116[.]212[.]152[.]12:449

121[.]58[.]242[.]206:449

128[.]201[.]92[.]41:449

167[.]114[.]13[.]91:443

170[.]81[.]32[.]66:449

173[.]239[.]128[.]74:443

178[.]116[.]83[.]49:443

181[.]113[.]17[.]230:449

182[.]253[.]20[.]66:449

182[.]50[.]64[.]148:449

185[.]66[.]227[.]183:443

187[.]190[.]249[.]230:443

190[.]145[.]74[.]84:449

192[.]252[.]209[.]44:443

197[.]232[.]50[.]85:443

198[.]100[.]157[.]163:443

212[.]23[.]70[.]149:443

23[.]226[.]138[.]169:443

23[.]92[.]93[.]229:443

23[.]94[.]233[.]142:443

23[.]94[.]41[.]215:443

42[.]115[.]91[.]177:443

46[.]149[.]182[.]112:449

47[.]49[.]168[.]50:443

62[.]141[.]94[.]107:443

68[.]109[.]83[.]22:443

70[.]48[.]101[.]54:443

71[.]13[.]140[.]89:443

75[.]103[.]4[.]186:443

81[.]17[.]86[.]112:443

82[.]222[.]40[.]119:449

94[.]181[.]47[.]198:449

SHA256

TSPY_TRICKBOT.THOIBEAI:
806bc3a91b86dbc5c367ecc259136f77482266d9fedca009e4e78f7465058d16

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/tech/124491.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code