升級版TrickBot將支援竊取信用卡儲蓄卡資料的功能
前言
Trickbot這款銀行木馬涉及到了多種網路攻擊活動,但它主要針對的是銀行機構的網路系統。但是現在,TrickBot的更新版本將能夠針對自助提款服務以及POS機裝置來發動攻擊,並竊取目標使用者的儲蓄卡及信用卡支付資料。
概述
近期, ofollow,noindex" target="_blank">TrickBot的惡意活動 變得越來越頻繁了,而且它還可以攻擊類似Microsoft Outlook、Chrome、Firefox、IE和Edge等瀏覽器或者App,並從中竊取使用者密碼和其他的敏感資料。
除此之外,這款惡意軟體的開發者仍在持續給TrickBot增加新的功能,比如說引入更強大的 程式碼注入技術 來繞過安全檢測,引入反分析技術並禁止目標計算機執行安全工具。
目前識別到的TrickBot樣本已經支援POS服務攻擊功能了。這個新新增的POS感染模組名為psfin32,它的作用跟此前攻擊所使用的網路域名收集模組非常類似。
研究人員在分析過程中發現,模組程式碼中包含了跟POS相關的術語,而且程式碼使用了LDAP查詢請求來訪問活動目錄服務(ADS)並識別目標網路中的POS服務。
LDAP查詢&TrickBot感染過程
TrickBot主要使用LDAP查詢來在Global Catalog中搜索包含了下列子字串(跟POS服務相關)的裝置:
*POS**LANE* *BOH* *TERM**REG* *STORE* *ALOHA* *CASH* *RETAIL* *MICROS*
它使用了不同的LDAP查詢來搜尋這些子字串,如果查詢請求無法獲取到預期的響應資訊,也就是查詢結果,那麼它將會查詢其他的賬號或者物件。
當Trickbot從目標裝置上獲取到了所需資訊之後,它將會把資料儲存在預配置檔案中,並通過POST連結將收集到的資料傳回遠端C2伺服器。
如果C2伺服器無法訪問,它將會返回“Dpost servers unavailable”,否則它將會發送“Report successfully sent”。
因此,研究人員提醒廣大企業及使用者,不要開啟任何可疑郵件以及附件文件,以防止受到此類攻擊的威脅。
* 參考來源: gbhackers ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM