TrickBot通常是通过其他恶意软件(例如Emotet)安装的。 您可以通过一个简单的附件到达 邮箱地址, 例如。 这样受害者就可以下载它并感染计算机。
一旦TrickBot进入系统,其功能就是收集用户数据。 它可以窃取各种各样的信息,从而损害受害者的安全和隐私。 现在看来,您的目标之一是 窃取Windows数据库 .
为了进行这种类型的攻击,TrickBot将下载几个执行特定行为的模块,例如,窃取cookie,浏览器信息,OpenSSH密钥并传播到其他系统。
安保 研究人员Sandor Nemes发现了一个名为“ ADll”的新TrickBot模块,该模块执行各种Windows命令,使特洛伊木马可以从Windows Server XNUMX中窃取数据库。 Windows Active Directory .
国家计算机病毒应急处理中心通过对互联网的监测发现一例TrickBot银行木马新变种。相比较过去出现过的TrickBot银行木马,该新变种攻击过程中无任何文件落地,包括载荷下载、窃密、屏幕截图在内的所用功能都由一段PowerShell命令完成。
TrickBot银行木马最早出现于2016年底,主要通过挂马网页、钓鱼文档传播,进入受害者计算机后窃取计算机中邮箱密码、浏览器中存储的网站凭证等敏感数据,注入浏览器窃取网银帐户密码,盗取受害者资产。过去的TrickBot银行木马一般通过带有恶意宏的Office文档启动PowerShell应用程序下载载荷到本地执行,这么做会导致载荷文件落地,一旦载荷文件被杀毒软件查杀攻击即宣告失败。
TrickBot新变种简化了攻击流程,去掉了载荷释放这一步骤,所用功能都由一段PowerShell命令行执行。这样攻击流程中无文件落地,降低了被杀毒软件查杀的风险。
针对该恶意木马程序所造成的危害,建议用户加强以下防护措施:一是银行木马大部分通过垃圾邮件传播,一般以Request order、Confirm Invoice这类与订单、付款单相关的字样作为邮件标题,若收到这类标题的邮件时先确定发件人身份,再决定是否打开邮件中的附件查看。二是TrickBot银行木马一般通过宏执行恶意功能,而宏是默认禁用的。当接收到未知来源的Office文档时,千万不要启用宏。