查看原文
其他

TrickBot 银行木马为何要偷盗Windows 问题历史信息?

Ionut Ilascu 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:360代码卫士团队

TrickBot 近期版本表现出和一般银行木马不同的兴趣点:盗取 Windows 系统稳定性和性能信息的数据。

微软在 Windows 操作系统上运行可靠性分析组件 (RAC),为可靠性监视功能 (Reliability Monitor) 提供关于软件安装、升级、操作系统和应用程序出错信息以及和硬件问题相关的信息。

为此,TrickBot 使用 RACAgent 调度任务每小时将所有数据都释放到一个本地文件夹中。用户可从“任务调度”工具禁用对这些详情的收集,但禁用后无法获得可靠性监控的系统稳定指数消息。

钓鱼活动披露 TrickBot 的新焦点

MyOnline Security 钓鱼活动分析后发现,某个 TrickBot 变体最近集中于读取并提取操作系统稳定性数据库以及 C:\ProgramData\Microsoft\RAC\ 下的信息。

安全研究员 James 发布了 TrickBot 盗取的文件列表。

目前尚不清楚这种类型的数据有何作用,但可能是用于恶意目的,如更精准地发送钓鱼邮件。

通过虚假的 Lioyds 银行邮件传播

这次钓鱼活动利用地址‘donotreply@lloydsbankdocs.com’假装发送来自 Lioyds 银行的信息以传播 TrickBot。这个地址很容易误导用户。

欺诈人员构造了令人信服的信息,诱骗潜在的受害者打开一份包含恶意宏的附件文档。如遭启用,宏代码会下载并执行 TrickBot。

该钓鱼邮件的 Office Word 文档中包含 Lloyds 银行的信头以实现以假乱真的效果。另外,犯罪分子还添加了赛门铁克的标识,以伪装成文件已通过解决方案验证的样子。



推荐阅读

网银木马TrickBot为Dyre的翻新版本


原文链接

https://www.bleepingcomputer.com/news/security/trickbot-banking-trojan-starts-stealing-windows-problem-history/





本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存