压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

最新版本的TrickBot銀行木馬現在包括一個screenlocker組件，表明如果受感染的目標似乎不是電子銀行用戶，惡意軟件的運營商可能很快就會開始為受害者勒索贖金。好消息是屏幕鎖定機制尚未完全發揮功能，并且似乎仍在開發中。盡管如此，安全研究人員已經發現新模塊落在受害者的計算機上，這表明開發已經足夠先進到實地試驗。

新的screenlocker模塊仍在開發中

screenlocker模塊是TrickBot在受害者計算機上丟棄的許多文件之一。 這個新TrickBot模塊的首次發現可以追溯到3月15日的上周。

TrickBot雖然以主要是銀行木馬而聞名，但近年來發展成為“惡意軟件滴管”。

TrickBot作者通過專門下載各種TrickBot模塊的惡意軟件來感染受害者 – 這些模塊負責各種操作。 以前已知的模塊包括實際的銀行木馬（瀏覽器注入器），還包括一個從受感染主機發送垃圾郵件的模塊，以及一個用于在大型網絡內橫向移動的SMB自我復制蠕蟲。

3月15日，最初的TrickBot dropper開始下載名為tabDll32.dll（或tabDll64.dll）的文件，該文件刪除了三個名為：

Spreader_x86.dll – TrickBot模塊，通過利用EternalRomance和可能由MS17-010安全補丁修補的其他攻擊，嘗試通過SMB在同一網絡上傳播到其他計算機。

SsExecutor_x86.exe – 與第一個一起使用的TrickBot模塊，意味著在初始妥協后運行。 模塊還會在受感染的計算機上建立啟動持久性。
ScreenLocker_x86.dll – TrickBot模塊，用于鎖定受感染的計算機屏幕。 它不加密文件。 模塊不起作用。

Interesting PDB references in TrickBot’s new module. pic.twitter.com/z5Q40ZOqlm

— MalwareTech (Research) (@MalwareTechLab) March 21, 2018

為企業網絡開發的Screenlocker模塊

突出的事實是，TrickBot自2017年夏季以來已經擁有SMB自擴散蠕蟲組件，并將其作為名為wormDll32.dll的文件下載。

通過這個新發現的模塊丟棄的所有三個文件似乎被設計為一個接一個地工作，忽略原始蠕蟲組件，并且在通過網絡橫向擴展之后觸發屏幕鎖。

這導致安全研究人員相信，該模塊是一種單擊方法，可以在公司網絡中通過單擊方式獲利，從而使用戶不太可能使用電子銀行服務，而獨立于最初的SMB蠕蟲。

“如果TrickBot開發人員正在嘗試完成這種鎖定功能，這會引發對該集團商業模式的有趣猜測，”安全公司Webroot的高級威脅研究分析師Jason Davison說。

“值得注意的是，這種鎖定功能僅在橫向移動后部署，這意味著它將用于主要針對未打補丁的企業網絡，”Davison補充道。 “在企業網絡中，用戶不可能定期訪問目標銀行網址，與鎖定潛在的數百臺機器相比，提取銀行憑證是一種不太成功的賺錢模式?！?/span>

盡管在當前版本中沒有觀察到文件加密操作，但這并不意味著當前模塊將不會收到進一步更新以展示全功能加密勒索軟件的行為。

原文：https://www.bleepingcomputer.com/news/security/trickbot-banking-trojan-gets-screenlocker-component/