内容简介:研究人员最近发现一个新版本的TrickBot对数据非常感兴趣,但这超出了银行木马的正常范围:因为它感兴趣的是Windows系统可靠性和性能相关的信息。微软在Windows操作系统上运行一个可靠性分析组件(Reliability Analysis Component,RAC)来提供可靠性监控,具体监控的内容包括操作系统和应用软件的软件安装、升级、错误和硬件相关的问题。为了达到这个目的,TrickBot使用RACAgent计划任务每小时执行,并复制所有这些监控数据到本地文件夹。用户可以通过任务管理器程序来阻止
研究人员最近发现一个新版本的TrickBot对数据非常感兴趣,但这超出了银行木马的正常范围:因为它感兴趣的是Windows系统可靠性和性能相关的信息。
微软在Windows操作系统上运行一个可靠性分析组件(Reliability Analysis Component,RAC)来提供可靠性监控,具体监控的内容包括操作系统和应用软件的软件安装、升级、错误和硬件相关的问题。
为了达到这个目的,TrickBot使用RACAgent计划任务每小时执行,并复制所有这些监控数据到本地文件夹。用户可以通过任务管理器程序来阻止这些信息的收集,但如果关闭这个功能,用户也无法再收到可靠性监控的系统稳定性指数(System Stability Index)。
钓鱼活动显示TrickBot 新方向
My online security对一起钓鱼活动分析结果显示,TrickBot变种主要读取和获取位于C:\ProgramData\Microsoft\RAC\的操作系统可靠性数据库和相关信息。安全研究人员James在twitter上发布了恶意软件窃取信息的截图:
窃取的数据
目前还不清楚要窃取哪类数据,但肯定是为了实现恶意目的,比如更好的进行钓鱼攻击。
TrickBot通过伪造的Lloyds Bank邮件传输
攻击活动使用发件地址[email protected]来发送含有TrickBot恶意软件的邮件,用户很容易就会将其误认为是来自Lloyds Bank银行的真实邮件地址。
攻击者努力伪造可信的消息,使潜在的受害者打开含有恶意宏的附件。如果启用宏,宏代码就会下载和执行TrickBot。
钓鱼邮件
钓鱼邮件附件中的office word文档包含Lloyds Bank的抬头,使其看起来更真实。而且,攻击者还加入了Symantec的logo使其看上去经过了安全解决方案的认证。
虽然恶意软件在努力隐藏其恶意本质,但目前VirusTotal已经有至少30个反病毒引擎能够检测出该恶意文件。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 新型密码窃取木马:AcridRain
- 色情勒索病毒和信息窃取木马的新套路
- 攻防最前线:凭证窃取木马KPOT Stealer推出新版
- 【安全帮】新型Android木马可从PayPal账户窃取资金
- 攻防最前线:新型木马Astaroth利用杀毒软件窃取数据
- 攻防最前线:全球超4万个政府网站账号遭木马窃取
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
