E安全9月5日讯 研究人员上周发现TrickBot银行木马， TrickBot新增功能将目标瞄向美国最火爆的加密货币钱包服务平台Coinbase.com，以窃取该平台账户中的加密货币资金。

TrickBot银行木马2016年秋天首度浮出水面，大多数专家认为这款木马由Dyre银行木马的部分开发人员开发。

鉴于TrickBot从一开始就具备许多高级功能，开发人员可能具备渊博的专业知识。TrickBot不断攻击网上银行，波及的国家也越来越多，刚开始主要针对澳大利亚。而如今，TrickBot能感染用户，并挂上虚假网页，从而劫持十多个国家的银行门户网站。

今年6月，TrickBot完成更新，并将目标瞄向PayPal账户和几个知名客户关系管理系统（CRM）的登录页面。时隔一个月之后，不断忙碌的TrickBot开发人员在这款木马中新增了自行传播蠕虫的组件，为这款银行木马赋予使用SMB连接传播到附近的计算机的能力。

安全公司Forcepoint研究人员发现的TrickBot样本显示，TrickBot的配置文件中包含一个能在用户访问（通过浏览器）Coinbase.com时挂上虚假登录页面的功能。

Coinbase是美国知名加密货币钱包服务商与交易所。上周五，比特币价格几分钟之内冲破5000美元，并一度保持在4500美元左右，因此窃取用户Coinbase登录凭证是一大诱惑，因为不法分子可以秘密将被劫持Coinbase账户的比特币或其它加密货币资金转移到自己账户。

去年，Dridex开发人员测试Dridex，当时这款银行木马能从本地安装的比特币钱包应用中窃取数据。然而，新版TrickBot不具备该功能，只会在用户网站Coinbase网站时窃取凭证。

Forcepoint表示，上周发现的TrickBot木马伪装成加拿大帝国商业银行（简称CIBC）发送的文档，这表明该版TrickBot仅针对加拿大用户。

文档中包含宏下载器，最终会下载并执行Trickbot变种。

随着比特币价格继续疯涨，该版TrickBot可能会感染其它国家的用户。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1237800063.shtml

▼点击“阅读原文” 查看更多精彩内容