Trickbot đang sử dụng Microsoft Excel để lấy cắp mật khẩu và dữ liệu trình duyệt web
Diễn đàn - Ngày đăng : 18:12, 15/11/2018
Phần mềm độc hại Trickbot, vốn được biết đến là tìm kiếm các thông tin về ngân hàng, hiện đang sử dụng tệp Microsoft Excel được trang bị mã độc hại để lấy cắp thông tin xác thực người dùng từ trình duyệt web.
Mô-đun mới của nó được gọi là pwgrab32 đang cố gắng ăn cắp các dữ liệu tự động điền, lịch sử duyệt web cũng như tên người dùng và mật khẩu từ trình duyệt và một số ứng dụng thông qua tệp Microsoft Excel độc hại.
Những kẻ tấn công đang lan truyền một tệp (có tên là Sep_report.xls) thông qua mã độc được viết bằng ngôn ngữ lập trình VBS Macro. Mã độc này được kích hoạt khi nạn nhân mở tài liệu. Khi Sep_report được mở, người dùng sẽ được nhắc "kích hoạt nội dung" trên Macro nhúng, công cụ kích hoạt và chạy tập lệnh độc hại.
Sau khi phần mềm độc hại tải xuống và chạy mô-đun pwgrab32, nó khởi chạy ba luồng để lấy thông tin đăng nhập từ Internet Explorer, Firefox và Chrome, một nhà nghiên cứu bảo mật của Fortinet, Xiaopeng Zhang, cho biết. Trong phiên bản của Zhang, luồng thứ tư cho Edge đã xuất hiện nhưng đã bị vô hiệu hóa.
Pwgrab32 sau đó thực hiện các chức năng để lấy cắp thông tin tự động điền từ trình duyệt web, thông tin thẻ tín dụng, cũng như thông tin đăng nhập như địa chỉ email, quốc gia, công ty, địa chỉ đường phố, tên đầy đủ và số điện thoại.
Nó đánh cắp tên người dùng và mật khẩu, cookie, lịch sử duyệt web và các bài đăng HTTP được lưu trữ. Tuy nhiên, nó không có khả năng ăn cắp mật khẩu từ các ứng dụng quản lý mật khẩu của bên thứ ba như Dashlane hay LastPass, theo các nhà nghiên cứu bảo mật của Trend Micro là Noel Anthony Llimos và Carl Maverick Pascual.
Một khi phần mềm độc hại hoàn thành quá trình này, nó sẽ chuyển sang thu thập mật khẩu từ ứng dụng thư Outlook cũng như các ứng dụng của giao thức truyền tập tin như FileZilla và WinSCP.
Chức năng mới của phần mềm độc hại này được các nhà nghiên cứu chú ý vào tháng trước khi Zhang thu được mẫu vào ngày 19 tháng 10.
"Các tác giả của phần mềm độc hại tiếp tục đầu tư vào cấu trúc mô-đun của Trickbot - khả năng cập nhật liên tục bằng cách tải xuống các mô-đun mới từ máy chủ C & C và thay đổi cấu hình của nó làm cho phần mềm độc hại đủ chín muồi để cập nhật", Noel Anthony Llimos và Carl Maverick Pascual nói. .
"Người dùng và doanh nghiệp có thể hưởng lợi từ các lá chắn bảo vệ sử dụng phương pháp tiếp cận nhiều lớp để giảm thiểu rủi ro do các mối đe dọa như trojan ngân hàng mang lại".
Thông thường là nhắm mục tiêu vào thông tin tài chính của nạn nhân, Trickbot đã sống và hoạt động từ năm 2016, được cho là sự tái sinh của mã độc 'Dyre'.
Bản chất mô-đun của phần mềm độc hại có nghĩa là những kẻ tấn công có thể mở rộng phần mềm độc hại sang một số khu vực, phát triển ra ngoài mục đích ban đầu của nó là một trojan ngân hàng.
Các mô-đun đáng chú ý khác mà nó đã phát triển trong vài năm gần đây bao gồm systeminfo32, thu thập dữ liệu trên hệ điều hành, thông tin CPU và bộ nhớ của nạn nhân, networkDll32, một mô-đun được mã hóa quét mạng và đánh cắp thông tin mạng.
Gần đây, Trickbot thậm chí còn đang xoay xở để ăn cắp ví Bitcoin. Một biến thể của Trickbot, được phát hiện năm ngoái, nhắm vào nền tảng trao đổi tiền điện tử Coinbase để lấy cắp thông tin đăng nhập và tiền của người dùng.