TrickBot 銀行木馬開始竊取 Windows 問題歷史記錄

TrickBot 銀行木馬開始竊取 Windows 問題歷史記錄

據外媒 bleepingcomputer 報道,最近監測到一個版本的 TrickBot 顯示出了它對一些特有數據的興趣:Windows 系統可靠性和性能信息。

微軟在 Windows 操作系統上運行可靠性分析組件(RAC),為可靠性監測提供有關軟件安裝、升級、操作系統和應用程序錯誤以及硬件相關問題的詳細信息。為此,它每小時使用 RACAgent 計劃任務,並將所有數據轉儲到本地文件夾。用戶可以從任務計劃進程中禁用這些詳細信息的收集,但這樣就不能再獲得可靠性監測的系統穩定性索引。

網絡釣魚活動揭示了 TrickBot 的新興趣

My Online Security 對網絡釣魚活動的分析顯示,本週發現的 TrickBot 變體主要集中在讀取和獲取操作系統可靠性數據庫以及C:\ ProgramData \ Microsoft \ RAC \下的可用信息。

安全研究員 詹姆斯 在 Twitter 上發佈了該惡意軟件搜索到的文件列表:

TrickBot 銀行木馬開始竊取 Windows 問題歷史記錄

Exfiltrated Data

目前還不清楚這類數據會對黑客有什麼好處,但它可以用於惡意目的,例如更好地定位釣魚郵件。

TrickBot 通過虛假 Lloyds 銀行電子郵件傳播

該網絡釣魚活動使用虛假的 Lloyds 銀行郵件地址’[email protected]’傳播 TrickBot,這很容易被誤以為真。釣魚者偽造郵件信息,誘使潛在受害者打開包含惡意宏的附加文檔。一旦受害者打開文檔,宏代碼將下載並執行 TrickBot。

TrickBot 銀行木馬開始竊取 Windows 問題歷史記錄

網絡釣魚電子郵件

附在釣魚郵件上的 Office Word 文檔包含 Lloyds 銀行的文檔頁頭,使其看起來更加真實。此外,黑客還添加了賽門鐵克徽標,讓惡意文件看起來通過了安全解決方案的驗證。


TrickBot 銀行木馬開始竊取 Windows 問題歷史記錄


儘管黑客努力隱藏其惡意性質,但該文件目前至少被 VirusTotal 上的 30 個防病毒引擎檢測到。

*消息參考:http://hackernews.cc/archives/24453


分享到:


相關文章: