根据网络安全公司WebRoot在本周三发表的分析报告来看,最新版本的TrickBot银行木马现在已经包含了一个“锁屏(screenlocker)”组件,这表明即使受感染的目标并不是网上银行用户,TrickBot的运营者也不会放过任何盈利的机会,通过锁定受害者的计算机屏幕来勒索赎金将成为其另一获利手段。
好消息是,TrickBot的这个锁屏功能尚且不能完全发挥作用,似乎仍处于开发阶段。不过,这个新的组件的确已经被发现安装在了受害者的计算机中,这表明攻击者目前至少已经掌握了能够将其植入受感染计算机的能力。CISP培训。
WebRoot表示,自2016年年初以来,TrickBot银行木马就一直在不断地进行更新和改变,试图想要永远保持领先于防御者一步。TrickBot起初是作为银行木马出现在公众眼前的,但近年来,它已经逐渐发展成了一个恶意软件下载器(dropper)。
WebRoot公司的研究人员在上周四发现,最新版本的TrickBot下载了一个名为“tabDll32.dll(或tabDll64.dll)”的模块,而该模块会下载三个文件,其中就包含了作为锁屏组件的“ScreenLocker_x86.dll”文件。具体如下:
Spreader_x86.dll-通过结合利用NSA黑客武器库中的“Eternalromance (永恒浪漫)” 漏洞和可能由MS17-010安全补丁修补的其他攻击,尝试通过SMB协议在同一网络中传播到其他计算机上;
SsExecutor_x86.exe-遍历注册表中的配置文件,并转至每个配置文件,以便将复制的二进制文件链接添加到启动路径中,以此在受感染计算机上建立持久机制;
ScreenLocker_x86.dll-用于锁定受感染计算机的屏幕,目前尚不能起到实际作用。
值得注意的是,这三个文件似乎被设计为一个接一个地工作,CISP培训也就是说TrickBot的这个锁屏组件只会在Spreader_x86.dll尝试通过SMB协议在同一网络中传播以及SsExecutor_x86.exe建立持久机制之后才会执行。
Webroot公司的高级威胁研究分析师Jason Davison表示,这种工作模式意味着最新版本的TrickBot银行木马将主要被用于针对那些未安装补丁的企业网络。
Davison解释说:“在企业网络中,用户不可能经常访问某个银行网址,与锁定潜在的数百台计算机相比,窃取银行登录凭证似乎的确不会是一个成功的盈利模式。”