曾经被称为具有钓鱼功能的普通银行木马Trickbot,最近升级了新的恶意软件模块,旨在扩展其功能,并允许其背后的参与者从受感染的机器收集更多数据。
据趋势科技报道,在3月份,Trickbot增加了屏幕锁定和检测规避,本月其作者添加了一个新的密码获取模块(又名PasswordGrabber),可以从受感染的系统中收集和泄露密码。
此外,Trickbot现在可以扫描Microsoft Outlook,Filezilla和WinScp程序以及Google Chrome,Mozilla Firefox,Internet Explorer和Microsoft Edge Web浏览器中的密码。
趋势科技已经观察到新的Trickbot变种,同时针对来自全球多个国家的受害者,美国,加拿大和菲律宾受到的影响最大。
Trickbot的开发人员通过从恶意软件的命令和控制(C&C)服务器推送新模块来更新其功能。
最近添加的密码捕获器模块还用于扫描,收集和泄露用户名和密码,Internet cookie,浏览历史记录,自动填充和HTTP帖子到其主人。
PasswordGrabber模块可以从Web浏览器和Windows程序中获取密码
目前的好消息是,Trickbot的PasswordGrabber恶意软件模块不会从受感染计算机上安装的密码管理器窃取密码,但趋势科技的研究人员尚未能够研究该木马从其浏览器插件中获取数据的能力。
Trickbot现在还能够通过添加Windows自动启动服务来实现对受感染计算机的持久性,该服务能够在每次系统重启后重新启动该木马。
Trickbot恶意软件通过恶意广告活动感染目标,但它也可以使用类似蠕虫的自动传播方法进行自我传播。
TrickBot于2016年首次被发现,据信它基于Dyreza银行木马。除了能够使用webinjects模块定位和感染各种各样的国际银行,然后在目标的Web浏览器中呈现之前将JavaScript和HTML代码注入网站。
它还能够从比特币钱包中窃取加密货币,以及使用Mimikatz收集凭证和电子邮件。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx