【安全资讯】Trickbot恶意软件攻击60家知名公司的客户

引言

Trickbot是一种复杂且多功能的恶意软件，具有20多个可按需下载和执行的模块。2月16日，研究人员披露，Trickbot 恶意软件已将60家知名公司的客户列为攻击目标，包括亚马逊、美国运通、摩根大通、微软、海军联邦信用合作社、PayPal、RBC、雅虎等。

简况

Trickbot是一个非常流行的恶意软件家族，一直在不断发展其策略以规避检测。2021 年，各国家或地区受 Trickbot 影响的热图如下：

研究人员在报告中重点描述了3个关键模块injectDll、tabDll和pwgrabc，以及Trickbot的反分析技术。“injectDll”网络注入模块负责窃取银行和凭证数据，可以使网页崩溃并阻止审查源代码的尝试。

tabDLL 模块可以获取用户的凭据并通过网络共享传播恶意软件。该模块通过 5 个步骤获取凭据：

• 允许在 LSASS 应用程序中存储用户凭证信息。
• 将“Locker”模块注入“ explorer.exe ”应用程序。
• 从受感染的“ explorer.exe ”中，强制用户向应用程序输入登录凭据，然后锁定用户的会话。
• 凭据存储在 LSASS 应用程序内存中。
• 使用mimikatz技术从 LSASS 应用程序内存中获取凭据。

由“tabDll”模块执行的获取用户凭据的步骤如下图：

pwgrabc是各种应用程序的凭据窃取程序，目标应用程序的完整列表如下：

• Chrome
• ChromeBeta
• Edge
• EdgeBeta
• Firefox
• Internet Explorer
• Outlook
• Filezilla
• WinSCP
• VNC
• RDP
• Putty,
• TeamViewer
• Precious
• Git
• OpenVPN
• OpenSSH
• KeePass
• AnyConnect
• RDCMan

此外，攻击者使用的反分析技术可以阻止研究人员向命令和控制服务器发送自动请求以获取新的Web注入。

总结

TrickBot 攻击知名受害者以窃取凭据，并为其运营商提供对门户网站的访问权限以及敏感数据，从而造成更大的破坏。