研究人员最近发现一个新版本的TrickBot对数据非常感兴趣,但这超出了银行木马的正常范围:因为它感兴趣的是windows系统可靠性和性能相关的信息。
微软在Windows操作系统上运行一个可靠性分析组件(Reliability Analysis Component,RAC)来提供可靠性监控,具体监控的内容包括操作系统和应用软件的软件安装、升级、错误和硬件相关的问题。
为了达到这个目的,TrickBot使用RACAgent计划任务每小时执行,并复制所有这些监控数据到本地文件夹。用户可以通过任务管理器程序来阻止这些信息的收集,但如果关闭这个功能,用户也无法再收到可靠性监控的系统稳定性指数(System Stability Index)。
钓鱼活动显示TrickBot 新方向My online security对一起钓鱼活动分析结果显示,TrickBot变种主要读取和获取位于C:\ProgramData\Microsoft\RAC\的操作系统可靠性数据库和相关信息。安全研究人员James在twitter上发布了恶意软件窃取信息的截图:
窃取的数据
目前还不清楚要窃取哪类数据,但肯定是为了实现恶意目的,比如更好的进行钓鱼攻击。
TrickBot通过伪造的Lloyds Bank邮件传输 攻击活动使用发件地址[emailprotected]来发送含有TrickBot恶意软件的邮件,用户很容易就会将其误认为是来自Lloyds Bank银行的真实邮件地址。攻击者努力伪造可信的消息,使潜在的受害者打开含有恶意宏的附件。如果启用宏,宏代码就会下载和执行TrickBot。
钓鱼邮件
钓鱼邮件附件中的office word文档包含Lloyds Bank的抬头,使其看起来更真实。而且,攻击者还加入了Symantec的logo使其看上去经过了安全解决方案的认证。
虽然恶意软件在努力隐藏其恶意本质,但目前VirusTotal已经有至少30个反病毒引擎能够检测出该恶意文件。