近日,安全研究人员发现了几波独立的网络攻击活动,均显示出银行木马Trickbot最新变种已经升级了防御躲避技术。经分析显示,该新变种现在会用DLL文件形式进行扩散,而且还加入了针对Windows 10的功能。
Trickbot通常是由带有DLL模块的EXE文件加载。而新的变种现在会用DLL档加载。这只木马程序是通过微软的Word文件进入,应该是经由垃圾邮件的恶意附件扩散。一开始感染时,Trickbot会显示为MS-DOS应用程序文件。接着木马程序会在受感染电脑上建立持续性能力。能够看到将Trickbot植入为DLL文件的排程工作。Trickbot是在2016年8月首次被发现,是一种从受感染电脑窃取邮件帐密的银行木马程序,它会使用入侵的电子邮件帐号来扩散恶意邮件。这恶名昭彰的银行木马背后作者一直都在积极地进行更新,让它更难以被侦测。它还加入了如躲避侦测、锁住屏幕以及远端应用程序帐密撷取等其他功能。之前的报告也看过它将目标放在OpenSSH和OpenVPN,并且透过高度混淆过的JavaScript档扩散。Trickbot作者还增加了针对Windows 10的功能,可能是为了避免被使用早期Windows版本的沙盒所侦测。此功能是透过Trickbot下载器OSTAP加入。这只木马程序会经由微软Word文件扩散。恶意文件遵循着命名规则”i<7-9 random=””digits=””>.doc”并且通常会包含模糊图象。文件声称受到保护,为了解密要求启用内容好让使用者可以看到清楚的图像。而当使用者启用内容后会执行恶意宏。图像下方还有一个隐藏的ActiveX控件,它会用MsRdpClient10NotSafeForScript class进行远端控制。恶意OSTAP JavaScript下载器以白色字体隐藏在内文的下半部。这让它不为使用者所知,却仍可见于电脑,使得OSTAP可以执行。Trickbot在2019年入侵了超过2.5亿个电子邮件帐号,因为其不断地演化的特征,使之成为企业所应该关注的重要威胁之一。为了防御木马程序,强烈建议企业要进行内部网络安全培训来解决电子邮件威胁。员工应该要了解如何发觉恶意邮件,可做好以下几个方面:行业热点:
驰援武汉 | 保障火神山医院网络安全,亚信安全在行动!
“远程不停工,安全不放松” 亚信安全远程办公安全保障
关于前线“战疫”、关于5G和本土创新,田溯宁做客“GSMA中国周”说了这些
亚信安全位居态势感知能力点阵领先者 | 数世咨询《网络安全态势感知能力指南》
了解亚信安全,请点击“阅读原文”