研究人員警告說，網絡攻擊者正在用TrickBot惡意軟件攻擊60家不同的高知名度公司，其中許多公司分布在美國。根據Check Point Research(CPR)的說法，其目的是攻擊這些公司的客戶。

根據CPR周三的文章，TrickBot的攻擊目標都是一些知名品牌，包括亞馬遜、美國運通、摩根大通、微軟、海軍聯邦信貸聯盟、貝寶、加拿大皇家銀行、雅虎以及其他公司。

研究人員在他們的報告中指出："Trickbot攻擊高知名度公司的用戶，竊取他們的憑證，攻擊者因此可以訪問他們的敏感數據，他們可以使用數據這些造成更大范圍的破壞。”

研究人員補充說，在技術方面，該攻擊活動中使用的攻擊變體增加了三個有趣的模塊，以及新的去混淆和反分析技術。

TrickBot歸來

TrickBot惡意軟件最初只是一個銀行木馬，但它現在已經不僅僅是一個惡意軟件了，已經成為了一個被廣泛利用的憑證竊取工具，該軟件通常負責在第二階段獲取惡意二進制文件，如勒索軟件。

自從2020年10月執法部門對其基礎設施進行了依法處理后，該威脅軟件又卷土重來，現在其擁有20多個不同的模塊，可以根據需要下載和執行。它通常是通過電子郵件傳播，盡管在最新的攻擊活動中增加了通過EternalRomance漏洞進行自我傳播的方式。

CPR研究人員警告說："此類模塊允許執行各種惡意攻擊活動，對60家高知名度的金融(包括加密貨幣)和技術公司的客戶構成了巨大威脅。我們看到，該惡意軟件在選擇目標方面是非常有選擇性的"。

它還被認為與類似的惡意軟件Emotet協同工作，后者在2021年1月遭到了執法處理。

CPR在自己的調查中發現，TrickBot總體上已經有超過14萬次成功感染;研究人員指出，它又成為了最流行的惡意軟件之一。

新的攻擊感染模塊

研究人員說，CPR發現當前的攻擊活動中使用的TrickBot版本有三個值得注意的更新模塊。

• l injectDll。
• l tabDll。
• l pwgrabc。

網絡注入模塊，TrickBot的 "injectDll"

網絡注入是銀行木馬最常用的手段;它們會向目標展示一個真實銀行登錄網站的仿造站點，當受害者試圖登錄時，它們就會竊取用戶的憑證數據，并接下來可能還會進行銀行賬戶盜竊以及電信詐騙。

研究人員說，這個特殊的模塊增加了一個來自臭名昭著的Zeus銀行木馬的網絡注入方式，它會從目標網站的登錄操作中收集信息并將其發送到一個命令和控制服務器(C2)。

根據報道，injectDll模塊執行瀏覽器數據注入，針對60家高知名度公司的網站進行攻擊，加上Trickbot對受害者進行的有選擇的攻擊，這種威脅將會變得更加危險。

研究人員說，在反分析方面，注入銀行網站頁面的有效載荷被最小化(使代碼大小變小或者使代碼不可讀)，載荷被混淆并使用了反混淆技術。他們說，最終的有效載荷，功能包含了抓取受害者的按鍵信息和網絡表單提交動作的監聽。

他們解釋說："通常情況下，研究人員會試圖使用JavaScript Beautifiers、de4js等去混淆器等工具來分析被混淆的JavaScript代碼。在我們應用這些工具后，我們注意到，雖然代碼變得可讀了，但代碼也無法正常運行了。"

他們觀察到的另一種反分析技術涉及研究人員向C2發送自動請求以獲得更新的網絡注入內容階段。如果請求中沒有'Refer'頭，服務器將不會返回有效的網絡注入內容。

Gurucul公司的研究人員通過電子郵件表示，我們不僅觀察到了最近成功創建的惡意軟件變體，而且我們甚至還看到了威脅攻擊者甚至使用了二十年前的惡意軟件生成的新變體。從TrickBot可以看出，即使一個威脅行為者集團已經被瓦解，但是他們的攻擊工具還會繼續存在，因為其他犯罪集團可以繼續使用他們的工具、戰術和程序，并對此進行自己的修改，繞過當前的檢測技術。

TrickBot的'tabDLL'模塊

第二個新功能是增加了一個動態鏈接庫(DLL)，也可用于抓取用戶的憑證。研究人員指出，其最終目的是通過網絡共享協議傳播惡意軟件。

正如CPR所述，tabDLL分多個步驟進行了攻擊，按順序，該模塊做了以下工作。

1. 啟用LSASS應用程序中的用戶憑證信息存儲。
2. 將 "Locker "模塊注入合法的explorer.exe應用程序中。
3. 從被感染的explorer.exe中，強迫用戶向應用程序輸入登錄憑證，然后鎖定用戶的會話。
4. 將憑證存儲在LSASS應用程序的內存中。
5. 使用Mimikatz從LSASS應用程序內存中獲取憑證，這是一個開源工具，用于從應用程序的內存中提取數據。
6. 向C2報告憑證。
7. 并且，利用EternalRomance漏洞通過SMBv1網絡共享協議傳播到網絡內的其他目標。

TrickBot的'pwgrabc'模塊

pwgrabc模塊，正如它的名字所示，這是一個可以用于各種應用程序的全能憑證竊取器。

研究人員總結說，該活動使用了各種工具進行了很好的攻擊組合。

他們說："根據我們的技術分析，我們可以看到TrickBot開發者的開發技能從一個非常低的水平提升到了可以進行惡意軟件開發的水平，而且非常注意小細節。同時我們知道，這些基礎設施的運營商在高水平的惡意軟件開發方面也非常有經驗。TrickBot目前仍然是一個非常危險的威脅"。

本文翻譯自：https://threatpost.com/trickbot-amazon-paypal-top-brands/178483/如若轉載，請注明原文地址。