研究人員警告說(shuō)，網(wǎng)絡(luò)攻擊者正在用TrickBot惡意軟件攻擊60家不同的高知名度公司，其中許多公司分布在美國(guó)。根據(jù)Check Point Research(CPR)的說(shuō)法，其目的是攻擊這些公司的客戶。

根據(jù)CPR周三的文章，TrickBot的攻擊目標(biāo)都是一些知名品牌，包括亞馬遜、美國(guó)運(yùn)通、摩根大通、微軟、海軍聯(lián)邦信貸聯(lián)盟、貝寶、加拿大皇家銀行、雅虎以及其他公司。

研究人員在他們的報(bào)告中指出："Trickbot攻擊高知名度公司的用戶，竊取他們的憑證，攻擊者因此可以訪問(wèn)他們的敏感數(shù)據(jù)，他們可以使用數(shù)據(jù)這些造成更大范圍的破壞?！?/p>

研究人員補(bǔ)充說(shuō)，在技術(shù)方面，該攻擊活動(dòng)中使用的攻擊變體增加了三個(gè)有趣的模塊，以及新的去混淆和反分析技術(shù)。

TrickBot歸來(lái)

TrickBot惡意軟件最初只是一個(gè)銀行木馬，但它現(xiàn)在已經(jīng)不僅僅是一個(gè)惡意軟件了，已經(jīng)成為了一個(gè)被廣泛利用的憑證竊取工具，該軟件通常負(fù)責(zé)在第二階段獲取惡意二進(jìn)制文件，如勒索軟件。

自從2020年10月執(zhí)法部門對(duì)其基礎(chǔ)設(shè)施進(jìn)行了依法處理后，該威脅軟件又卷土重來(lái)，現(xiàn)在其擁有20多個(gè)不同的模塊，可以根據(jù)需要下載和執(zhí)行。它通常是通過(guò)電子郵件傳播，盡管在最新的攻擊活動(dòng)中增加了通過(guò)EternalRomance漏洞進(jìn)行自我傳播的方式。

CPR研究人員警告說(shuō)："此類模塊允許執(zhí)行各種惡意攻擊活動(dòng)，對(duì)60家高知名度的金融(包括加密貨幣)和技術(shù)公司的客戶構(gòu)成了巨大威脅。我們看到，該惡意軟件在選擇目標(biāo)方面是非常有選擇性的"。

它還被認(rèn)為與類似的惡意軟件Emotet協(xié)同工作，后者在2021年1月遭到了執(zhí)法處理。

CPR在自己的調(diào)查中發(fā)現(xiàn)，TrickBot總體上已經(jīng)有超過(guò)14萬(wàn)次成功感染;研究人員指出，它又成為了最流行的惡意軟件之一。

新的攻擊感染模塊

研究人員說(shuō)，CPR發(fā)現(xiàn)當(dāng)前的攻擊活動(dòng)中使用的TrickBot版本有三個(gè)值得注意的更新模塊。

• l injectDll。
• l tabDll。
• l pwgrabc。

網(wǎng)絡(luò)注入模塊，TrickBot的 "injectDll"

網(wǎng)絡(luò)注入是銀行木馬最常用的手段;它們會(huì)向目標(biāo)展示一個(gè)真實(shí)銀行登錄網(wǎng)站的仿造站點(diǎn)，當(dāng)受害者試圖登錄時(shí)，它們就會(huì)竊取用戶的憑證數(shù)據(jù)，并接下來(lái)可能還會(huì)進(jìn)行銀行賬戶盜竊以及電信詐騙。

研究人員說(shuō)，這個(gè)特殊的模塊增加了一個(gè)來(lái)自臭名昭著的Zeus銀行木馬的網(wǎng)絡(luò)注入方式，它會(huì)從目標(biāo)網(wǎng)站的登錄操作中收集信息并將其發(fā)送到一個(gè)命令和控制服務(wù)器(C2)。

根據(jù)報(bào)道，injectDll模塊執(zhí)行瀏覽器數(shù)據(jù)注入，針對(duì)60家高知名度公司的網(wǎng)站進(jìn)行攻擊，加上Trickbot對(duì)受害者進(jìn)行的有選擇的攻擊，這種威脅將會(huì)變得更加危險(xiǎn)。

研究人員說(shuō)，在反分析方面，注入銀行網(wǎng)站頁(yè)面的有效載荷被最小化(使代碼大小變小或者使代碼不可讀)，載荷被混淆并使用了反混淆技術(shù)。他們說(shuō)，最終的有效載荷，功能包含了抓取受害者的按鍵信息和網(wǎng)絡(luò)表單提交動(dòng)作的監(jiān)聽(tīng)。

他們解釋說(shuō)："通常情況下，研究人員會(huì)試圖使用JavaScript Beautifiers、de4js等去混淆器等工具來(lái)分析被混淆的JavaScript代碼。在我們應(yīng)用這些工具后，我們注意到，雖然代碼變得可讀了，但代碼也無(wú)法正常運(yùn)行了。"

他們觀察到的另一種反分析技術(shù)涉及研究人員向C2發(fā)送自動(dòng)請(qǐng)求以獲得更新的網(wǎng)絡(luò)注入內(nèi)容階段。如果請(qǐng)求中沒(méi)有'Refer'頭，服務(wù)器將不會(huì)返回有效的網(wǎng)絡(luò)注入內(nèi)容。

Gurucul公司的研究人員通過(guò)電子郵件表示，我們不僅觀察到了最近成功創(chuàng)建的惡意軟件變體，而且我們甚至還看到了威脅攻擊者甚至使用了二十年前的惡意軟件生成的新變體。從TrickBot可以看出，即使一個(gè)威脅行為者集團(tuán)已經(jīng)被瓦解，但是他們的攻擊工具還會(huì)繼續(xù)存在，因?yàn)槠渌缸锛瘓F(tuán)可以繼續(xù)使用他們的工具、戰(zhàn)術(shù)和程序，并對(duì)此進(jìn)行自己的修改，繞過(guò)當(dāng)前的檢測(cè)技術(shù)。

TrickBot的'tabDLL'模塊

第二個(gè)新功能是增加了一個(gè)動(dòng)態(tài)鏈接庫(kù)(DLL)，也可用于抓取用戶的憑證。研究人員指出，其最終目的是通過(guò)網(wǎng)絡(luò)共享協(xié)議傳播惡意軟件。

正如CPR所述，tabDLL分多個(gè)步驟進(jìn)行了攻擊，按順序，該模塊做了以下工作。

1. 啟用LSASS應(yīng)用程序中的用戶憑證信息存儲(chǔ)。
2. 將 "Locker "模塊注入合法的explorer.exe應(yīng)用程序中。
3. 從被感染的explorer.exe中，強(qiáng)迫用戶向應(yīng)用程序輸入登錄憑證，然后鎖定用戶的會(huì)話。
4. 將憑證存儲(chǔ)在LSASS應(yīng)用程序的內(nèi)存中。
5. 使用Mimikatz從LSASS應(yīng)用程序內(nèi)存中獲取憑證，這是一個(gè)開源工具，用于從應(yīng)用程序的內(nèi)存中提取數(shù)據(jù)。
6. 向C2報(bào)告憑證。
7. 并且，利用EternalRomance漏洞通過(guò)SMBv1網(wǎng)絡(luò)共享協(xié)議傳播到網(wǎng)絡(luò)內(nèi)的其他目標(biāo)。

TrickBot的'pwgrabc'模塊

pwgrabc模塊，正如它的名字所示，這是一個(gè)可以用于各種應(yīng)用程序的全能憑證竊取器。

研究人員總結(jié)說(shuō)，該活動(dòng)使用了各種工具進(jìn)行了很好的攻擊組合。

他們說(shuō)："根據(jù)我們的技術(shù)分析，我們可以看到TrickBot開發(fā)者的開發(fā)技能從一個(gè)非常低的水平提升到了可以進(jìn)行惡意軟件開發(fā)的水平，而且非常注意小細(xì)節(jié)。同時(shí)我們知道，這些基礎(chǔ)設(shè)施的運(yùn)營(yíng)商在高水平的惡意軟件開發(fā)方面也非常有經(jīng)驗(yàn)。TrickBot目前仍然是一個(gè)非常危險(xiǎn)的威脅"。

本文翻譯自：https://threatpost.com/trickbot-amazon-paypal-top-brands/178483/如若轉(zhuǎn)載，請(qǐng)注明原文地址。