近日有幾波獨立的攻擊活動顯示出Trickbot是如何地更新其執行和防禦躲避技術。首先是Malware Traffic偵測到這隻銀行木馬程式現在會用DLL檔案形式散播。Morphisec也報告說它加入了針對Windows 10的功能。趨勢科技研究人員也有發現這些新變種的樣本。
Trickbot透過DLL散播
Trickbot通常是由帶有DLL模組的EXE檔載入。而新的變種現在會用DLL檔載入。這隻木馬程式是透過微軟Word文件檔案進入,應該是經由垃圾郵件的惡意附件檔散播。一開始感染時,Trickbot會顯示為MS-DOS應用程式檔案。接著木馬程式會在受感染電腦上建立持續性能力。能夠看到將Trickbot植入為DLL檔的排程工作。
Trickbot是在2016年8月首次被發現,是一種從受感染電腦竊取郵件帳密的銀行木馬程式。接著它會使用入侵的電子郵件帳號來散播惡意郵件。這惡名昭彰的銀行木馬背後作者一直都在積極地進行更新,讓它更難以被偵測。它還加入了如躲避偵測、鎖住螢幕以及遠端應用程式帳密擷取等其他功能。之前的報告也看過它將目標放在OpenSSH和OpenVPN,並且透過高度混淆過的JavaScript檔散播。
經由微軟Word文件散播,以模糊圖像為餌
Trickbot作者還增加了針對Windows 10的功能,可能是為了避免被使用早期Windows版本的沙箱所偵測。此功能是透過Trickbot下載器OSTAP加入。
這隻木馬程式會經由微軟Word文件檔散播。惡意檔案遵循著命名規則”i<7-9 random=”” digits=””>.doc”並且通常會包含模糊圖像。文件聲稱受到保護,為了解密要求啟用內容好讓使用者可以看到清楚的圖像。
而當使用者啟用內容後會執行惡意巨集。圖像下方還有一個隱藏的 ActiveX 控制項,它會用MsRdpClient10NotSafeForScript class進行遠端控制。惡意OSTAP JavaScript下載器以白色字體隱藏在內文的下半部。這讓它不為使用者所知卻仍可見於電腦,使得OSTAP可以執行。
2019年Trickbot入侵了過2.5億個電子郵件帳號
Trickbot在2019年入侵了超過2.5億個電子郵件帳號,其不斷地演化是企業和使用者所應該關注的威脅。為了防禦木馬程式,強烈建議企業要進行內部教育訓練來解決電子郵件威脅。員工應該要瞭解如何發覺惡意郵件,並且避免下載附件檔和點擊來自未知來源的連結。
[延伸閱讀: 這些員工沒看穿的騙局,造成的損失可能比病毒還大- 企業常見四種電子郵件威脅]
為了對此類威脅提供更有效的安全防護,趨勢科技Email Security能夠在垃圾郵件對系統造成損害前先加以偵測和封鎖。企業也可以使用Smart Protection Network™內的電子郵件和協作作業防護解決方案: Deep Discovery Email Inspector 和趨勢科技InterScan Messaging Security。
入侵指標
|
檔案名稱 | SHA 256 | 趨勢科技病毒碼偵測名稱 | 趨勢科技預判式機器學習偵測名稱 |
| 2020-02-25-DOCX-file-with-macro-for-Trickbot-gtag-red4.bin |
7db5670a94d95cac01d2c58066f0a9e4 517adf6c907f8d7aa15eedc69ba704cf | Trojan.W97M.TRICKBOT.L | Downloader.VBA.TRX.XXVBAF01FF006 |
| 2020-02-25-scheduled-task-for-Trickbot-gtag-red4.txt |
6aaa85bb1409738a63083350048fc5df 104600960454bc47b71520fe6408d9bf | Trojan.XML.TRICKBOT.CB | N/A |
| 2020-02-25-Trickbot-gtag-red4-DLL.bin / d26db78f99749974.com |
70b3da66ad99bca8703ef61d3f8406b3d 0b05ad60d10318270f41a064d065791 | TrojanSpy.Win32.TRICKBOT.DLL | Troj.Win32.TRX.XXPE50FFF034 |
| ban3j.bat |
78b04ee46913669be6588fb82ce5b511 dd5865f9dbd5b904681ae2816e723e8b | Trojan.BAT.TRICKBOT.AMT | N/A |
| c63f2739765d000000a85ab79e249e65-file_36254b3f04e27e6ecb138eb4dfe0675b-2020-02-25 15-12-55 / List1.jse |
8187c859f6667e0d58ecda5f89d64e64a 53d1ffa72943704700f976b197e6b74 | Worm.JS.JASCREX.A | N/A |
| List1.bat |
2f1d06c3edf1eb4044279924de4d2485 144fcd270056d5cfc4489d7b3e428c9f | Trojan.BAT.STARTER.TIAOOAAW | N/A |
| ndj34h.bat |
5c80c0b1c58986637f982055d01fb9ec 2721617daefcdbdfafaae1eb393e72dc | Trojan.BAT.POWLOAD.TIAOEJY | N/A |
| settings.ini |
3626d672f2ceea178c6267cd6ce9d370 52199ee8988aa9d3bbde5cd094af0c6a | Trojan.BAT.TRICKBOT.CFG | N/A |
@原文出處:Trickbot Spreads as DLL, Comes with Upgrades Targeting Windows 10
p>💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝) 快進來看看 🙂
