竞技宝电竞体育干玫瑰牛皮动态 TrickBot改进其银走木马模块
作者:admin    发布时间: 2021-07-17 23:35

钻研人员外示,TrickBot木马正在增补涉猎器中间人(MitB)功能,用于窃取相通于早期银走木马Zeus的在线银走凭证,这能够预示着银走敲诈抨击即将到来。

TrickBot是一栽复杂(且常见)的模块化胁迫,以窃取凭据并挑供一系列后续勒索柔件和其他凶意柔件而着名。但最初它只是一个功能浅易的银走木马,议定将毫无戒心的用户重定向到特制的凶意网站来获取网上银走凭证,并异国太众对抗坦然分析的技术。

据Kryptos Logic Threat Intelligence的钻研人员称竞技宝电竞体育干玫瑰牛皮动态,此功能由TrickBot的webinject模块实现。当受害者尝试访问现在标URL(如银走网站)时,TrickBot webinject包会实走静态或动态Web注入以实现其现在标:

“静态注入类型会导致受害者被重定向到抨击者限制的现在标站点的副本,然后他们能够在那里搜集凭据。”“动态注入类型将服务器相答透明地转发到TrickBot命令和限驯服务器(C2),然后在那里修改源以包含凶意组件,然后返回给受害者,就相通它来自相符法站点相通。”

按照Kryptos Logic的说法,在模块的更新版本中,TrickBot增补了对“Zeus风格的webinject配置”的声援——这是将凶意代码动态注入现在标银走站点主意地的另一栽手段。

Zeus

钻研人员注释说竞技宝电竞体育干玫瑰牛皮动态,直到2011年,Zeus的源代码被泄露之前,它都曾是作恶柔件周围最为通走的银走木马。自那以后,其他的很众凶意柔件都挑选了其中的各栽功能并相符并到本身的代码中。

“由于Zeus不息是银走凶意柔件的黄金标准,Zeus风格的webinjects专门受迎接,很众其他的凶意柔件家族都声援Zeus风格的webinject语法,从而实现交叉兼容性,如4Zloader、5Citadel等等。”

钻研人员外示,在Zeus手段中,注入是议定本地SOCKS服务器代理流量来完善的——这一手段也能够在IcedID的man-In-browser webinject模块中找到。当受害者尝试访问现在标URL(模块中很众硬编码的URL之一)时,流经侦听代理的流量会相答地动态修改。为了实现这一点,它创建了一个自签名的TLS证书并将其增补到证书存储中。

“该模块包含一个打包的有效负载,能够注入受害者的涉猎器,它会钩住套接字API以将流量重定向到本地侦听SOCKS代理竞技宝电竞体育干玫瑰牛皮动态,它还钩住“CertVerifyCertificateChainPolicy”和“CertGetCertificateChain”以确保不会向受害者表现证书舛讹。”

更新后的模块取代了旧有的功能,以injectDll的名义被推送给真实的受害者。该公司发现,有32位和64位两栽版本。

TrickBot恢复银走敲诈营业?

Kryptos Logic的钻研人员注释说竞技宝电竞体育干玫瑰牛皮动态,鉴于TrickBot已经从银走木马时代发展到几乎十足凝神于充当第一阶段、众用途凶意柔件,这一发展专门值得吾们仔细,由于这些凶意柔件清淡是勒索柔件感染的前兆。所以,在交付最后有效载荷(同样,清淡是勒索柔件)之前,还频繁望到它在整个网络环境中实走横向传播。近来它甚至增补一个bootkit函数。

所以,这项更新webinject模块的新辛勤能够外明TrickBot的运营商正在重新卷入银走业敲诈战。

Kryptos Logic钻研人员总结道:“webinject模块的恢复开发外明TrickBot打算恢复其银走敲诈营业,该营业犹如已被搁置了一年众。”“增补Zeus风格的webinjects能够意味着他们的凶意柔件即服务平台的扩展,行使户能够携带本身的webinjects。”

本文翻译自:https://threatpost.com/trickbot-banking-trojan-module/167521/

鸿蒙官方战略配相符共建——HarmonyOS技术社区竞技宝电竞体育干玫瑰牛皮动态

Powered by 竞技宝电竞体育 @2018 RSS地图 HTML地图