研究人员警告说,网络攻击者正以TrickBot恶意软件攻击60家不同的知名公司,其中许多公司位于美国。根据CheckPointResearch(CPR)的说法,其目的是攻击这些公司的客户。根据CPR周三的文章,TrickBot的目标是知名品牌,包括亚马逊、美国运通、摩根大通、微软、海军联邦信用合作社、PayPal、加拿大皇家银行、雅虎等。“Trickbot攻击知名公司的用户,窃取他们的凭据并允许攻击者访问他们的敏感数据,他们可以利用这些数据造成广泛的破坏,”研究人员在他们的报告中指出。研究人员补充说,在技术方面,此次活动中使用的攻击变种增加了三个有趣的模块,以及新的去混淆和反分析技术。TrickBot回来了TrickBot恶意软件最初是一种银行木马,但它已经超越了单纯的恶意软件,成为一种被广泛利用的凭据窃取程序,通常负责在第二阶段获取恶意二进制文件,例如勒索软件。自2020年10月执法部门对其基础设施采取行动以来,该威胁软件卷土重来,现在有20多个不同的模块可以按需下载和执行。它通常通过电子邮件传播,尽管通过EternalRomance漏洞的自我传播已被添加到最新的活动中。CPR研究人员警告说:“此类模块允许进行各种恶意活动,对60家知名金融(包括加密货币)和技术公司的客户构成重大威胁。”方面非常有选择性”。它还被认为与类似的恶意软件Emotet一起工作,Emotet于2021年1月被执法部门处理。在其自己的调查中,CPR发现TrickBot总体上已成功感染超过140,000次;研究人员请注意,它再次成为最流行的恶意软件之一。研究人员说,新攻击感染模块CPR为当前活动中使用的TrickBot版本发现了三个值得注意的更新模块。linjectDll.ltabDll.lpwgrabc.网络注入模块,TrickBot的“injectDll”网络注入是银行木马最常见的手段;它们会向目标展示一个真实的银行登录网站的虚假站点,当受害者尝试登录时,它们会窃取用户的凭证数据,从而盗取银行账户电汇欺诈可能随之而来。研究人员说,这个特定模块添加了一种来自臭名昭著的Zeus银行木马的网络注入方法,该方法从目标网站的登录操作中收集信息并将其发送到命令和控制服务器(C2)。据报道,injectDll模块执行浏览器数据注入,针对60家知名公司的网站,再加上Trickbot对受害者的选择性攻击,这种威胁将变得更加危险。研究人员表示,在反分析方面,注入到银行网站页面的有效载荷被最小化(以使代码更小或不可读),有效载荷被混淆,并使用了反混淆技术。他们说,最终的有效载荷包括捕获受害者的击键和收听网络表单提交。他们解释说:“通常,研究人员会尝试使用JavaScriptBeautifiers、de4js等去混淆器等工具来分析混淆后的JavaScript代码。在我们应用这些工具之后,我们注意到虽然代码变得可读了,但代码也不再起作用了。”他们观察到的另一种反分析技术涉及研究人员向C2发送自动请求,以获取更新的网络注入内容阶段。如果请求中没有'Refer'头,服务器将不会返回有效的网络注入内容。Gurucul研究人员通过电子邮件表示:“我们不仅观察到最近成功创建的恶意软件变体,而且我们甚至还看到了威胁行为者使用甚至已有20年历史的恶意软件生成的新变体。”从TrickBot可以看出,即使一个威胁行为者团体被击落,他们的攻击工具仍然存在,因为其他犯罪团体可以继续使用他们的工具、策略和程序并进行自己的修改,以利用当前的检测技术来规避。TrickBot的“tabDLL”模块的第二个新功能是添加了一个动态链接库(DLL),该库也可用于获取用户凭据。据研究人员称,最终目标是通过网络共享协议传播恶意软件。正如CPR所述,tabDLL分多个步骤进行了攻击。按顺序,此模块执行以下工作。允许在LSASS应用程序中存储用户凭证信息。将“Locker”模块注入合法的explorer.exe应用程序。从受感染的explorer.exe中,用户被迫在应用程序中输入登录凭据,然后锁定用户的会话。将凭据存储在LSASS应用程序的内存中。使用Mimikatz从LSASS应用程序内存中获取凭据,Mimikatz是一种用于从应用程序内存中提取数据的开源工具。向C2报告凭据。并且利用EternalRomance漏洞通过SMBv1网络共享协议传播到网络中的其他目标。TrickBot的“pwgrabc”模块pwgrabc模块,顾名思义,是一个全能的凭据窃取程序,可用于各种应用程序。研究人员得出结论,该活动使用了很好的工具组合来进行攻击。“根据我们的技术分析,我们可以看到TrickBot开发人员的开发技能已经从很低。操作人员在开发高级恶意软件方面也非常有经验。TrickBot目前仍然是一个非常危险的威胁。”本文翻译自:https://threatpost.com/trickbot-amazon-paypal-top-brands/178483/如有转载请注明原文地址。
