特洛伊木馬

特洛伊木馬 介紹

Trojan.TrickBot截圖 Trojan.TrickBot,銀行木馬,似乎是Dyre的繼任者,Dyre是著名的銀行木馬,已經對世界各地的眾多攻擊負責。這兩個木馬之間肯定存在聯繫。這些威脅不斷發展,在抵禦PC安全研究人員實施的新安全措施時獲得了新功能。 Dyre ,也稱為Dyreza,似乎已經發展成為Trojan.TrickBot,一種較新的銀行木馬。

Trojan.TrickBot於2016年10月首次出現,當時僅攻擊澳大利亞的銀行。從2017年4月開始,也有報導稱對英國,美國,瑞士,德國,加拿大,新西蘭,法國和愛爾蘭的主要銀行也進行了攻擊。該特洛伊木馬的其他名稱包括TheTrick,Trickster,TrickLoader,Trojan.TrickBot.e等。該惡意軟件的較新版本之一已更新,以在2017年末加密礦盛行之後針對加密貨幣錢包為目標。同樣在2017年,銀行木馬的作者在其代碼中添加了一個自我傳播組件,從而使該惡意軟件能夠自我傳播。顯然,目標是使用Trojan.TrickBot感染盡可能多的計算機,甚至感染整個網絡。在2018年,Trojan.TrickBot再次以更廣泛的功能出現。

TrickBot喜歡與其他惡意軟件威脅合作

2019年1月,研究人員發現了Ryuk勒索軟件的活躍活動,其中目標受害者先前曾受到Emotet和TrickBot的攻擊。有證據表明,網絡犯罪分子首先通過垃圾郵件和各種社會工程技術傳遞了Emotet 。在該方案中,使用感染了Emotet的計算機來分發TrickBot,TrickBot進而竊取了敏感信息,從而幫助攻擊者確定受害者是否是合適的行業目標。如果是這樣,那麼他們會將Ryuk勒索軟件部署到公司的網絡中。此前,在2018年5月,TrickBot還與另一家銀行TrojanIcedID合作。

單獨工作時,TrickBot通常會散佈在偽裝成帶有啟用宏的Microsoft Office文檔的損壞的電子郵件附件中。打開文件後,惡意腳本將執行並秘密下載惡意軟件。 TrickBot自2019年初以來的最新版本是通過假裝來自大型金融諮詢公司的季節性主題垃圾郵件發送的。這些電子郵件以稅收相關內容吸引用戶,並有望在某些美國稅收問題上提供幫助。但是,一旦打開,將附加到用戶計算機上的電子郵件投遞TrickBot的Microsoft Excel電子表格。

對Trojan的簡要分析.TrickBot的前身Dyre Trojan

Dyre特洛伊木馬程序與由數十萬台受感染計算機組成的廣泛殭屍網絡相關聯,在2015年11月攻擊了全球數万台計算機。. 這種威脅的活動於2015年11月停止,與此同時,突襲了一家俄羅斯企業的辦公室,該企業是負責Dyre的騙子團體的一部分。不幸的是,似乎2015年參與開發Dyre的人現在可能正在參與Trojan.TrickBot的開發。

監控Trojan.TrickBot的演變

Trojan.TrickBot於2016年9月在針對澳大利亞計算機用戶的威脅運動中首次被發現。受影響的一些澳大利亞金融機構包括國民銀行,聖喬治,西太平洋銀行和澳新銀行。最初的Trojan.TrickBot攻擊涉及一個收集器模塊。較新的Trojan.TrickBot示例也將webinjects包含在其攻擊中,並且似乎仍在測試中。

PC安全分析師懷疑Trojan.TrickBot和Dyre之間存在很強的聯繫,原因有多種。參與大多數攻擊的裝載程序非常相似。解碼威脅後,相似之處就非常明顯。這意味著負責Dyre開發和實施的許多騙子似乎又重新活躍起來,逃避了Dyre襲擊一年後的逮捕和恢復活動。 Trojan.TrickBot似乎是Dyre的重寫版本,保留了許多相同的功能,但編寫方式不同。與Dyre相比,Trojan.TrickBot實現中有大量的C ++代碼。 Trojan.TrickBot利用了Microsoft的CryptoAPI,而不是為其相應的加密操作使用內置函數。以下是Trojan.TrickBot和Dyre之間的區別:

  • Trojan.TrickBot不會直接運行命令,而是會使用COM與Task Scheduler進行交互,以保持對受感染計算機的持久性。
  • Trojan.TrickBot使用Microsoft Crypto API,而不是使用內置的SHA256哈希例程或AES例程。
  • 雖然Dyre主要是使用編程語言C編寫的,但Trojan.TrickBot的代碼使用了C ++的較大部分。
  • 除了攻擊大型國際銀行以外,Trojan.TrickBot還可以從比特幣錢包中竊取。
  • TrojanTrickBot能夠通過Mimikatz工具收集電子郵件和登錄憑據。
  • 新功能也不斷添加到Trojan.TrickBot。

但是,這些差異似乎表明Dyre與Trojan.TrickBot之間存在明確的關係,但Trojan.TrickBot實際上代表了早期威脅發展的更高級階段。使用威脅加載程序“ TrickLoader”加載Trojan.TrickBot,該加載程序已與其他幾種威脅相關聯,包括PushdoCutwailVawtrak 。特別是Cutwail,也與Dyre威脅相關聯,使得負責Trojan.TrickBot的騙子可能正在嘗試重建他們先前攻擊時所享有的強大功能。

運作細節

Trojan.TrickBot對用戶隱私構成嚴重威脅,因為其主要目的是竊取在線銀行網站,Paypal帳戶,加密貨幣錢包以及其他金融和個人帳戶的用戶登錄憑據。該惡意軟件使用兩種技術誘騙受害者提供數據. 第一種技術稱為靜態注入,它包括用偽造的網站來替換合法銀行網站的登錄頁面,並準確複製該頁面。第二種方法稱為動態注入,它涉及劫持受害者的瀏覽器,並在用戶每次輸入屬於目標銀行網站的URL時將其重定向到由惡意軟件操作員控制的服務器。在任何一種情況下,都會捕獲用戶輸入的登錄數據,並將其發送到Trojan.TrickBot操作員,然後分別將其誤用於進行財務欺詐。

Trojan.TrickBot通過幾個不同的模塊和一個配置文件提供。每個模塊都執行特定的任務,例如確保惡意軟件的傳播和持久性,竊取憑據等。為了避免檢測,惡意模塊被注入到包括svchost在內的合法進程中。另外,TrickBot嘗試禁用和刪除Windows Defender,以減少被檢測到的機會。

Trojan.TrickBot的安裝文件夾位於C:\ user \ AppData \ Roaming \%Name%中,其中“%Name%”取決於惡意軟件的特定版本。在同一文件夾中還有一個TrickBot副本,其名稱略有不同,還有settings.ini文件和Data文件夾。 TrickBot通過創建計劃任務和服務來確保其持久性。任務的名稱取決於惡意軟件的變體,例如,可以將其命名為“ NetvalTask”。註冊表項是隨機生成的,位於服務配置單元下,例如\ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath。 Trojan.TrickBot的運營商設置了Command&Control服務器,惡意軟件通過該服務器與被入侵的無線路由器進行通信。

較新版本的TrickBot具有增強的功能

2018年11月,Trojan.TrickBot的更新版本進入了惡意軟件市場,展示了更多高級功能。其中之一是在2018年11月之前的幾個月中出現的某些版本的惡意軟件中出現的屏幕鎖定功能。當時,一些研究人員認為,通過該新組件,惡意軟件作者的目的是如果特洛伊木馬程序被劫持,則將受害者勒索。無法從受感染的計算機中竊取任何銀行憑證。在2018年11月前後還增加了避免檢測的功能。但是,Trojan.TrickBot武庫中增加了一個更加危險的功能,當時它通過一個名為“ pwgrab”的新密碼捕獲模塊-該惡意軟件不再對只能由用戶網站訪問,但它也可以劫持流行的應用程序並從那裡竊取保存的密碼。除此之外,TrickBot還開始收集瀏覽和系統數據,例如cookie,搜索項,歷史記錄,CPU信息,正在運行的進程等。此外,木馬一旦安裝在計算機上,便具有自我更新的能力,這意味著受感染的計算機將始終具有最新版本的TrickBot,而不管初始感染的時間如何。

Trojan.TrickBot的另一個新版本於2019年1月被趨勢科技研究人員發現。此新變種為TrickBot的密碼竊取模塊增加了三項新功能,旨在針對虛擬網絡計算(VNC),PuTTY和遠程桌面協議。 (RDP)平台。 TrickBot的pwgrab模塊通過在“%APPDATA%\ Microsoft \ Windows \ Recent”,“%USERPROFILE%\ Documents”和“%USERPROFILE%\”中查找名稱中包含“ .vnc.lnk”的文件來捕獲VNC憑據。下載”文件夾. 為了獲取PuTTY和RDP憑據,TrickBot會在Software \ SimonTatham \ Putty \ Sessions註冊表項中查找並使用“ CredEnumerateA API”來識別和竊取已保存的密碼。然後,為了識別每個RDP憑據保存的用戶名,主機名和密碼,惡意軟件將解析字符串“ target = TERMSRV”。 TrickBot從操作員的Command&Control服務器下載名為“ dpost”的配置文件,並使用POST命令設置以竊聽從受感染設備收集的VNC,PuTTY和RDP憑據。

在2019年1月,研究人員還發現TrickBot還可充當其他參與者的訪問即服務-一旦感染計算機,它就會將其轉變為機器人並創建反向外殼,從而允許其他惡意軟件操作員訪問受感染的網絡並丟棄自己的惡意有效載荷。

防止Trojan.TrickBot攻擊

防止Trojan.TrickBot攻擊的最佳方法是確保計算機受到可靠的,完全更新的反惡意軟件程序的保護。網上銀行密碼應該很安全,並且應該執行兩步驗證。處理網上銀行帳戶,避免在未知計算機上進行這些操作以及定期使用更新的安全應用程序掃描計算機中的威脅時,請務必謹慎。

Do You Suspect Your Computer May Be Infected with 特洛伊木馬 & Other Threats? Scan Your Computer with SpyHunter

SpyHunter is a powerful malware remediation and protection tool designed to help provide users with in-depth system security analysis, detection and removal of a wide range of threats like 特洛伊木馬 as well as a one-on-one tech support service. Download SpyHunter's FREE Malware Remover*

技術信息

文件系統詳情

特洛伊木馬創建以下文件:
# 文件名 大小 MD5 檢測計數
1 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe 546,612 00701daadc3d41e975f0b307954b75bf 264
2 %SYSTEMDRIVE%\tumpex.exe\tumpex.exe 446,464 295945614fbdb1f363340c3a778a753d 203
3 %SYSTEMDRIVE%\grahic.exe\grahic.exe 401,920 58c5675a26dc8f81670a75e4d01b2150 202
4 %SYSTEMDRIVE%\shima.exe\shima.exe 606,208 e7f594dacc2d36f1d60289515280bdea 182
5 c:tmpax.exe 709,248 8f29d0d9e64b2c60ee7406a1b4e6e533 175
6 %SYSTEMDRIVE%\swupd.exe\swupd.exe 630,784 ab2685a8c4ad66e3c959aa625117f965 174
7 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe 630,784 9921475a696aadbb0956bec618dd990d 156
8 %SYSTEMDRIVE%\swype.exe\swype.exe 806,912 8d6572f1f3efa7ffd3daccafcc777a7c 146
9 %SYSTEMDRIVE%detar.exe 606,208 5d5370e2a5b0a36263c83604f18edb94 107
10 %SYSTEMDRIVE%\shera.exe\shera.exe 546,612 ca5a2501c7eba21240665901b1b033c2 102
11 c:swepe.exe 499,712 bbfc3c507f4368744936114435b47af1 89
12 %SYSTEMDRIVE%\compar.exe\compar.exe 396,800 8897352420f4ae8d9b49c66aeac503e7 82
13 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe 482,766 68cabfe9cff08560addda0af513262f4 48
14 %SYSTEMDRIVE%\Users\Administrador.CAMAREAD\appdata\roaming\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe 462,848 f78810a80635175cbd988d4ef097e361 38
15 c:wotrer.exe 962,560 0450e57c7fb70c44bd4fc95cafc061da 23
16 c:fudpe.exe 256,512 514274e4a6af9ff841e67fd9a464ee12 13
17 %WINDIR%\system32\config\systemprofile\boof.exe 306,176 6d50ff0c945099137dd830303f7aa664 8
18 %SYSTEMDRIVE%stsvc.exe 556,032 31edfed69186b203531b81bf50561949 6
19 c:\users\default\appdata\roaming\appnet\tetuq.exe 299,008 6bb1e2585207ee171c7609cf79fdaea8 4
20 c:monter.exe 323,584 25a2930568080b56c849557993062735 1
21 7dfc76beb5d8fc3b1ecf4de9ac204ad2 3,396 7dfc76beb5d8fc3b1ecf4de9ac204ad2 0
更多文件

註冊表詳情

特洛伊木馬創建以下註冊表條目:
Directory
%APPDATA%\adirecttools
%APPDATA%\AMNI
%APPDATA%\anydeskadserv
%APPDATA%\cashcore
%APPDATA%\chromedata
%APPDATA%\cleanmem
%APPDATA%\CloudApp
%APPDATA%\cmdcache
%APPDATA%\cpumon
%APPDATA%\DirectTools
%APPDATA%\diskram
%APPDATA%\dllsyslib
%APPDATA%\extvisual
%APPDATA%\gpudriver
%APPDATA%\gpuhealth
%APPDATA%\GpuSettings
%APPDATA%\gpuTools
%APPDATA%\iCloud
%appdata%\monolib
%appdata%\monolibrary
%APPDATA%\mscache
%APPDATA%\mscloud
%APPDATA%\mslibrary
%APPDATA%\netcache
%APPDATA%\netrest
%APPDATA%\NetSocket
%appdata%\netwinlib
%APPDATA%\nocsys
%APPDATA%\NuiGet
%APPDATA%\safessd
%appdata%\services
%APPDATA%\smcvs
%APPDATA%\speedlan
%APPDATA%\speedlink
%APPDATA%\syscache
%appdata%\sysdefragler
%APPDATA%\sysexts
%APPDATA%\syshealth
%APPDATA%\sysswap
%APPDATA%\SystemApps
%APPDATA%\taskhealth
%APPDATA%\temporx
%APPDATA%\vcneo
%appdata%\vpnpr
%appdata%\windirect
%appdata%\WinDirectTools
%APPDATA%\winnet
%APPDATA%\WinNetCore
%APPDATA%\WinSocket
%APPDATA%\WNetval
%APPDATA%\wnetwork
%APPDATA%\WSOG
%localappdata%\deploytexas
%LOCALAPPDATA%\runningpost
%LOCALAPPDATA%\wnetwork
%UserProfile%\Local Settings\Application Data\wnetwork
%WINDIR%\System32\config\systemprofile\AppData\Roaming\gpuTools
Regexp file mask
%APPDATA%\[RANDOM CHARACTERS].exe
%HOMEDRIVE%\mssvca.exe
%HOMEDRIVE%\mswvc.exe
%HOMEDRIVE%\stcvc.exe
%HOMEDRIVE%\stsvc.exe
%LOCALAPPDATA%\TempQce34.exE
File name without path
44893m9uh88g9l9_nkubyhu6vfxxbh989xo7hlttkppzf29ttdu6kwppk_11c1jl.exe

網站免責聲明

Enigmasoftware.com is not associated, affiliated, sponsored or owned by the malware creators or distributors mentioned on this article. This article should NOT be mistaken or confused in being associated in any way with the promotion or endorsement of malware. Our intent is to provide information that will educate computer users on how to detect, and ultimately remove, malware from their computer with the help of SpyHunter and/or manual removal instructions provided on this article.

This article is provided "as is" and to be used for educational information purposes only. By following any instructions on this article, you agree to be bound by the disclaimer. We make no guarantees that this article will help you completely remove the malware threats on your computer. Spyware changes regularly; therefore, it is difficult to fully clean an infected machine through manual means.

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。