欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全防护正文

TrickBot银行木马窃取Windows problem history

b9e08c31ae1faa592018-11-227

研究人员最近发现一个新版本的TrickBot对数据非常感兴趣,但这超出了银行木马的正常范围:因为它感兴趣的是Windows系统可靠性和性能相关的信息。

微软在Windows操作系统上运行一个可靠性分析组件(Reliability Analysis Component,RAC)来提供可靠性监控,具体监控的内容包括操作系统和应用软件的软件安装、升级、错误和硬件相关的问题。

为了达到这个目的,TrickBot使用RACAgent计划任务每小时执行,并复制所有这些监控数据到本地文件夹。用户可以通过任务管理器程序来阻止这些信息的收集,但如果关闭这个功能,用户也无法再收到可靠性监控的系统稳定性指数(System Stability Index)。

钓鱼活动显示TrickBot 新方向

My online security对一起钓鱼活动分析结果显示,TrickBot变种主要读取和获取位于C:\ProgramData\Microsoft\RAC\的操作系统可靠性数据库和相关信息。安全研究人员James在twitter上发布了恶意软件窃取信息的截图:

TrickBot银行木马窃取Windows problem history  第1张 TrickBot银行木马窃取Windows problem history  第1张

窃取的数据

目前还不清楚要窃取哪类数据,但肯定是为了实现恶意目的,比如更好的进行钓鱼攻击。

漏洞扫描

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.

TrickBot通过伪造的Lloyds Bank邮件传输

攻击活动使用发件地址donotreply@lloydsbankdocs.com来发送含有TrickBot恶意软件的邮件,用户很容易就会将其误认为是来自Lloyds Bank银行的真实邮件地址。

攻击者努力伪造可信的消息,使潜在的受害者打开含有恶意宏的附件。如果启用宏,宏代码就会下载和执行TrickBot。

TrickBot银行木马窃取Windows problem history  第3张 TrickBot银行木马窃取Windows problem history  第3张

钓鱼邮件

钓鱼邮件附件中的office word文档包含Lloyds Bank的抬头,使其看起来更真实。而且,攻击者还加入了Symantec的logo使其看上去经过了安全解决方案的认证。

TrickBot银行木马窃取Windows problem history  第5张 TrickBot银行木马窃取Windows problem history  第5张

虽然恶意软件在努力隐藏其恶意本质,但目前VirusTotal已经有至少30个反病毒引擎能够检测出该恶意文件。

本文翻译自:https://www.bleepingcomputer.com/news/security/trickbot-banking-trojan-starts-stealing-windows-problem-history/如若转载,请注明原文地址: http://www.4hou.com/web/14620.html

网友评论