银行特洛伊木马获得窃取Facebook、Twitter和Gmail账户的能力

这款名为Terdot的银行特洛伊木马自2016年年中开始出现，最初设计用于作为代理进行中间人（MitM）攻击，窃取存储的信用卡信息和登录凭据等浏览信息，并向访问的网页中注入HTML代码。

然而，安全公司Bitdefender的研究人员发现，银行特洛伊木马现在已被改造为新的间谍功能，例如利用开源工具欺骗SSL证书，以便访问社交媒体和电子邮件帐户，甚至代表受感染的用户发布帖子。
Terdot banking特洛伊木马通过使用高度定制的中间人（MITM）代理来实现这一点，该代理允许恶意软件拦截受感染计算机上的任何流量。

除此之外，Terdot的新变种甚至还增加了自动更新功能，允许恶意软件根据其操作员的请求下载和执行文件。

通常，Terdot针对的是众多加拿大机构的银行网站，如皇家银行、国家银行、PCFinancial、Desjardins、蒙特利尔银行和丰业银行等。

这个特洛伊木马可以窃取你的Facebook、Twitter和Gmail帐户

然而，根据最新的分析，Terdot可以瞄准社交媒体网络，包括Facebook、Twitter、Google Plus和YouTube，以及电子邮件服务提供商，包括谷歌的Gmail和微软的live。com和雅虎邮件。

Bitdefender指出，有趣的是，该恶意软件避免收集与俄罗斯最大社交媒体平台VKontakte（vk.com）相关的数据。这表明东欧参与者可能是新变种的幕后推手。

该银行特洛伊木马主要是通过被SunDown漏洞攻击工具包破坏的网站传播的，但研究人员还观察到，它是通过一封带有伪PDF图标按钮的恶意电子邮件发送的。

如果单击，它会执行模糊的JavaScript代码，下载并运行恶意软件文件。为了逃避检测，特洛伊木马使用了一个复杂的滴管链、注射链和下载链，允许下载Terdot的碎片。
一旦感染，特洛伊木马就会将自己注入浏览器进程，以直接连接到自己的Web代理、读取流量并注入间谍软件。它还可以通过检查受害者的请求或在响应中注入间谍软件Javascript代码来窃取身份验证信息。

Terdot还可以通过生成自己的证书颁发机构（CA）并为受害者访问的每个域生成证书，绕过TLS（传输层安全）施加的限制。

受害者发送到银行或社交媒体账户的任何数据都可能被Terdot实时拦截和修改，这也可能使其通过向其他社交媒体账户发布虚假链接来传播。

Bitdefender总结道：“Terdot是一个复杂的恶意软件，建立在宙斯的遗产之上”。“它专注于获取社交网络和电子邮件服务等其他服务的凭据，这可能会使它成为一个极其强大的网络间谍工具，极难发现和清除”。

自去年10月Terdot banking特洛伊木马重新出现以来，Bitdefender一直在追踪该新变种。有关这一新威胁的更多细节，请参阅该安全公司发布的技术论文（PDF）。