Trickbot恶意软件攻击60家知名公司的客户

2月16日，研究人员披露，Trickbot恶意软件已将60家知名公司的客户列为攻击目标，包括亚马逊、美国运通、摩根大通、微软、海军联邦信用合作社、PayPal、RBC、雅虎等，这些攻击目标的信息安全受到威胁。

Trickbot是一种复杂且多功能的恶意软件，具有20多个可按需下载和执行的模块。据悉，Trickbot最初是一家银行木马，但之后经常用于攻击以丢弃其他恶意软件，如勒索软件，VNC客户端和远程访问恶意软件。

Trickbot是一个非常流行的恶意软件家族，一直在不断发展其策略以规避检测。2021年，各国家或地区受Trickbot影响的热图如下：

下表显示了每个地区受Trickbot影响的组织的百分比:

研究人员在报告中重点描述了3个关键模块injectDll、tabDll和pwgrabc，以及Trickbot的反分析技术。“injectDll”网络注入模块负责窃取银行和凭证数据，可以使网页崩溃并阻止审查源代码的尝试。

tabDLL模块可以获取用户的凭据并通过网络共享传播恶意软件。该模块通过5个步骤获取凭据：

1.允许在LSASS应用程序中存储用户凭证信息。

2.将“Locker”模块注入“explorer.exe”应用程序。

3.从受感染的“explorer.exe”中，强制用户向应用程序输入登录凭据，然后锁定用户的会话。

4.凭据存储在LSASS应用程序内存中。

5.使用mimikatz技术从LSASS应用程序内存中获取凭据。

由“tabDll”模块执行的获取用户凭据的步骤如下图：

pwgrabc是各种应用程序的凭据窃取程序，目标应用程序的完整列表如下：

Chrome

ChromeBeta

Edge

EdgeBeta

Firefox

Internet Explorer

Outlook

Filezilla

WinSCP

VNC

RDP

Putty,

TeamViewer

Precious

Git

OpenVPN

OpenSSH

KeePass

AnyConnect

RDCMan

此外，攻击者使用的反分析技术可以阻止研究人员向命令和控制服务器发送自动请求以获取新的Web注入。

TrickBot攻击知名受害者以窃取凭据，并为其运营商提供对门户网站的访问权限以及敏感数据，从而造成更大的破坏。