入侵超過2.5億個帳號的銀行木馬Trickbot,變身攻擊Windows 10

近日有幾波獨立的攻擊活動顯示出Trickbot是如何地更新其執行和防禦躲避技術。首先是Malware Traffic偵測到這隻銀行木馬程式現在會用DLL檔案形式散播。Morphisec也報告說它加入了針對Windows 10的功能。趨勢科技研究人員也有發現這些新變種的樣本。


Trickbot透過DLL散播


Trickbot通常是由帶有DLL模組的EXE檔載入。而新的變種現在會用DLL檔載入。這隻木馬程式是透過微軟Word文件檔案進入,應該是經由垃圾郵件的惡意附件檔散播。一開始感染時,Trickbot會顯示為MS-DOS應用程式檔案。接著木馬程式會在受感染電腦上建立持續性能力。能夠看到將Trickbot植入為DLL檔的排程工作。


Trickbot是在2016年8月首次被發現,是一種從受感染電腦竊取郵件帳密的銀行木馬程式。接著它會使用入侵的電子郵件帳號來散播惡意郵件。這惡名昭彰的銀行木馬背後作者一直都在積極地進行更新,讓它更難以被偵測。它還加入了如躲避偵測、鎖住螢幕以及遠端應用程式帳密擷取等其他功能。之前的報告也看過它將目標放在OpenSSH和OpenVPN,並且透過高度混淆過的JavaScript檔散播

經由微軟Word文件散播,以模糊圖像為餌


Trickbot作者還增加了針對Windows 10的功能,可能是為了避免被使用早期Windows版本的沙箱所偵測。此功能是透過Trickbot下載器OSTAP加入。

這隻木馬程式會經由微軟Word文件檔散播。惡意檔案遵循著命名規則”i<7-9 random=”” digits=””>.doc”並且通常會包含模糊圖像。文件聲稱受到保護,為了解密要求啟用內容好讓使用者可以看到清楚的圖像。


而當使用者啟用內容後會執行惡意巨集。圖像下方還有一個隱藏的 ActiveX 控制項,它會用MsRdpClient10NotSafeForScript class進行遠端控制。惡意OSTAP JavaScript下載器以白色字體隱藏在內文的下半部。這讓它不為使用者所知卻仍可見於電腦,使得OSTAP可以執行。


2019年Trickbot入侵了過2.5億個電子郵件帳號

Trickbot在2019年入侵了超過2.5億個電子郵件帳號,其不斷地演化是企業和使用者所應該關注的威脅。為了防禦木馬程式,強烈建議企業要進行內部教育訓練來解決電子郵件威脅。員工應該要瞭解如何發覺惡意郵件,並且避免下載附件檔和點擊來自未知來源的連結。


[延伸閱讀: 這些員工沒看穿的騙局,造成的損失可能比病毒還大- 企業常見四種電子郵件威脅]

為了對此類威脅提供更有效的安全防護,趨勢科技Email Security能夠在垃圾郵件對系統造成損害前先加以偵測和封鎖。企業也可以使用Smart Protection Network™內的電子郵件和協作作業防護解決方案: Deep Discovery Email Inspector 趨勢科技InterScan Messaging Security

入侵指標

檔案名稱

SHA 256 趨勢科技病毒碼偵測名稱 趨勢科技預判式機器學習偵測名稱
2020-02-25-DOCX-file-with-macro-for-Trickbot-gtag-red4.bin 7db5670a94d95cac01d2c58066f0a9e4
517adf6c907f8d7aa15eedc69ba704cf
Trojan.W97M.TRICKBOT.L Downloader.VBA.TRX.XXVBAF01FF006
2020-02-25-scheduled-task-for-Trickbot-gtag-red4.txt 6aaa85bb1409738a63083350048fc5df
104600960454bc47b71520fe6408d9bf
Trojan.XML.TRICKBOT.CB N/A
2020-02-25-Trickbot-gtag-red4-DLL.bin / d26db78f99749974.com 70b3da66ad99bca8703ef61d3f8406b3d
0b05ad60d10318270f41a064d065791
TrojanSpy.Win32.TRICKBOT.DLL Troj.Win32.TRX.XXPE50FFF034
ban3j.bat 78b04ee46913669be6588fb82ce5b511
dd5865f9dbd5b904681ae2816e723e8b
Trojan.BAT.TRICKBOT.AMT N/A
c63f2739765d000000a85ab79e249e65-file_36254b3f04e27e6ecb138eb4dfe0675b-2020-02-25 15-12-55 / List1.jse 8187c859f6667e0d58ecda5f89d64e64a
53d1ffa72943704700f976b197e6b74
Worm.JS.JASCREX.A N/A
List1.bat 2f1d06c3edf1eb4044279924de4d2485
144fcd270056d5cfc4489d7b3e428c9f
Trojan.BAT.STARTER.TIAOOAAW N/A
ndj34h.bat 5c80c0b1c58986637f982055d01fb9ec
2721617daefcdbdfafaae1eb393e72dc
Trojan.BAT.POWLOAD.TIAOEJY N/A
settings.ini 3626d672f2ceea178c6267cd6ce9d370
52199ee8988aa9d3bbde5cd094af0c6a
Trojan.BAT.TRICKBOT.CFG N/A


@原文出處:Trickbot Spreads as DLL, Comes with Upgrades Targeting Windows 10

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
p>💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FB IG Youtube LINE 官網