TrickBot 银行木马为何要偷盗Windows 问题历史信息?
编译:360代码卫士团队
TrickBot 近期版本表现出和一般银行木马不同的兴趣点:盗取 Windows 系统稳定性和性能信息的数据。
微软在 Windows 操作系统上运行可靠性分析组件 (RAC),为可靠性监视功能 (Reliability Monitor) 提供关于软件安装、升级、操作系统和应用程序出错信息以及和硬件问题相关的信息。
为此,TrickBot 使用 RACAgent 调度任务每小时将所有数据都释放到一个本地文件夹中。用户可从“任务调度”工具禁用对这些详情的收集,但禁用后无法获得可靠性监控的系统稳定指数消息。
钓鱼活动披露 TrickBot 的新焦点
对 MyOnline Security 钓鱼活动分析后发现,某个 TrickBot 变体最近集中于读取并提取操作系统稳定性数据库以及 C:\ProgramData\Microsoft\RAC\ 下的信息。
安全研究员 James 发布了 TrickBot 盗取的文件列表。
目前尚不清楚这种类型的数据有何作用,但可能是用于恶意目的,如更精准地发送钓鱼邮件。
通过虚假的 Lioyds 银行邮件传播
这次钓鱼活动利用地址‘donotreply@lloydsbankdocs.com’假装发送来自 Lioyds 银行的信息以传播 TrickBot。这个地址很容易误导用户。
欺诈人员构造了令人信服的信息,诱骗潜在的受害者打开一份包含恶意宏的附件文档。如遭启用,宏代码会下载并执行 TrickBot。
该钓鱼邮件的 Office Word 文档中包含 Lloyds 银行的信头以实现以假乱真的效果。另外,犯罪分子还添加了赛门铁克的标识,以伪装成文件已通过解决方案验证的样子。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/trickbot-banking-trojan-starts-stealing-windows-problem-history/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。