TrickBot銀行木馬新增Screenlocker組件
責編:mhshi |2018-03-22 15:35:40最新版本的TrickBot銀行木馬現(xiàn)在包括一個screenlocker組件,表明如果受感染的目標似乎不是電子銀行用戶,惡意軟件的運營商可能很快就會開始為受害者勒索贖金。好消息是屏幕鎖定機制尚未完全發(fā)揮功能,并且似乎仍在開發(fā)中。盡管如此,安全研究人員已經發(fā)現(xiàn)新模塊落在受害者的計算機上,這表明開發(fā)已經足夠先進到實地試驗。
新的screenlocker模塊仍在開發(fā)中
screenlocker模塊是TrickBot在受害者計算機上丟棄的許多文件之一。 這個新TrickBot模塊的首次發(fā)現(xiàn)可以追溯到3月15日的上周。
TrickBot雖然以主要是銀行木馬而聞名,但近年來發(fā)展成為“惡意軟件滴管”。
TrickBot作者通過專門下載各種TrickBot模塊的惡意軟件來感染受害者 – 這些模塊負責各種操作。 以前已知的模塊包括實際的銀行木馬(瀏覽器注入器),還包括一個從受感染主機發(fā)送垃圾郵件的模塊,以及一個用于在大型網絡內橫向移動的SMB自我復制蠕蟲。
3月15日,最初的TrickBot dropper開始下載名為tabDll32.dll(或tabDll64.dll)的文件,該文件刪除了三個名為:
Spreader_x86.dll – TrickBot模塊,通過利用EternalRomance和可能由MS17-010安全補丁修補的其他攻擊,嘗試通過SMB在同一網絡上傳播到其他計算機。
SsExecutor_x86.exe – 與第一個一起使用的TrickBot模塊,意味著在初始妥協(xié)后運行。 模塊還會在受感染的計算機上建立啟動持久性。
ScreenLocker_x86.dll – TrickBot模塊,用于鎖定受感染的計算機屏幕。 它不加密文件。 模塊不起作用。
Interesting PDB references in TrickBot’s new module. pic.twitter.com/z5Q40ZOqlm
— MalwareTech (Research) (@MalwareTechLab) March 21, 2018
為企業(yè)網絡開發(fā)的Screenlocker模塊
突出的事實是,TrickBot自2017年夏季以來已經擁有SMB自擴散蠕蟲組件,并將其作為名為wormDll32.dll的文件下載。
通過這個新發(fā)現(xiàn)的模塊丟棄的所有三個文件似乎被設計為一個接一個地工作,忽略原始蠕蟲組件,并且在通過網絡橫向擴展之后觸發(fā)屏幕鎖。
這導致安全研究人員相信,該模塊是一種單擊方法,可以在公司網絡中通過單擊方式獲利,從而使用戶不太可能使用電子銀行服務,而獨立于最初的SMB蠕蟲。
“如果TrickBot開發(fā)人員正在嘗試完成這種鎖定功能,這會引發(fā)對該集團商業(yè)模式的有趣猜測,”安全公司Webroot的高級威脅研究分析師Jason Davison說。
“值得注意的是,這種鎖定功能僅在橫向移動后部署,這意味著它將用于主要針對未打補丁的企業(yè)網絡,”Davison補充道。 “在企業(yè)網絡中,用戶不可能定期訪問目標銀行網址,與鎖定潛在的數(shù)百臺機器相比,提取銀行憑證是一種不太成功的賺錢模式。”
盡管在當前版本中沒有觀察到文件加密操作,但這并不意味著當前模塊將不會收到進一步更新以展示全功能加密勒索軟件的行為。
原文:https://www.bleepingcomputer.com/news/security/trickbot-banking-trojan-gets-screenlocker-component/
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網絡與信息法治建設回顧