亚马逊、微软等60家知名公司遭受恶意软件攻击

研究人员警告说，网络攻击者正在用TrickBot恶意软件攻击60家不同的高知名度公司，其中许多公司分布在美国。根据Check Point Research（CPR）的说法，其目的是攻击这些公司的客户。 

根据CPR周三的文章，TrickBot的攻击目标都是一些知名品牌，包括亚马逊、美国运通、摩根大通、微软、海军联邦信贷联盟、贝宝、加拿大皇家银行、雅虎以及其他公司。

研究人员在他们的报告中指出："Trickbot攻击高知名度公司的用户，窃取他们的凭证，攻击者因此可以访问他们的敏感数据，他们可以使用数据这些造成更大范围的破坏。”

研究人员补充说，在技术方面，该攻击活动中使用的攻击变体增加了三个有趣的模块，以及新的去混淆和反分析技术。

TrickBot归来

TrickBot恶意软件最初只是一个银行木马，但它现在已经不仅仅是一个恶意软件了，已经成为了一个被广泛利用的凭证窃取工具，该软件通常负责在第二阶段获取恶意二进制文件，如勒索软件。

自从2020年10月执法部门对其基础设施进行了依法处理后，该威胁软件又卷土重来，现在其拥有20多个不同的模块，可以根据需要下载和执行。它通常是通过电子邮件传播，尽管在最新的攻击活动中增加了通过EternalRomance漏洞进行自我传播的方式。

CPR研究人员警告说："此类模块允许执行各种恶意攻击活动，对60家高知名度的金融（包括加密货币）和技术公司的客户构成了巨大威胁。我们看到，该恶意软件在选择目标方面是非常有选择性的"。

它还被认为与类似的恶意软件Emotet协同工作，后者在2021年1月遭到了执法处理。

CPR在自己的调查中发现，TrickBot总体上已经有超过14万次成功感染；研究人员指出，它又成为了最流行的恶意软件之一。

新的攻击感染模块

研究人员说，CPR发现当前的攻击活动中使用的TrickBot版本有三个值得注意的更新模块。

l  injectDll

l  tabDll

l  pwgrabc

网络注入模块，TrickBot的 "injectDll"

网络注入是银行木马最常用的手段；它们会向目标展示一个真实银行登录网站的仿造站点，当受害者试图登录时，它们就会窃取用户的凭证数据，并接下来可能还会进行银行账户盗窃以及电信诈骗。

研究人员说，这个特殊的模块增加了一个来自臭名昭著的Zeus银行木马的网络注入方式，它会从目标网站的登录操作中收集信息并将其发送到一个命令和控制服务器（C2）。

根据报道，injectDll模块执行浏览器数据注入，针对60家高知名度公司的网站进行攻击，加上Trickbot对受害者进行的有选择的攻击，这种威胁将会变得更加危险。

研究人员说，在反分析方面，注入银行网站页面的有效载荷被最小化（使代码大小变小或者使代码不可读），载荷被混淆并使用了反混淆技术。他们说，最终的有效载荷，功能包含了抓取受害者的按键信息和网络表单提交动作的监听。

他们解释说："通常情况下，研究人员会试图使用JavaScript Beautifiers、de4js等去混淆器等工具来分析被混淆的JavaScript代码。在我们应用这些工具后，我们注意到，虽然代码变得可读了，但代码也无法正常运行了。"

他们观察到的另一种反分析技术涉及研究人员向C2发送自动请求以获得更新的网络注入内容阶段。如果请求中没有'Refer'头，服务器将不会返回有效的网络注入内容。

Gurucul公司的研究人员通过电子邮件表示，我们不仅观察到了最近成功创建的恶意软件变体，而且我们甚至还看到了威胁攻击者甚至使用了二十年前的恶意软件生成的新变体。从TrickBot可以看出，即使一个威胁行为者集团已经被瓦解，但是他们的攻击工具还会继续存在，因为其他犯罪集团可以继续使用他们的工具、战术和程序，并对此进行自己的修改，绕过当前的检测技术。

TrickBot的'tabDLL'模块

第二个新功能是增加了一个动态链接库（DLL），也可用于抓取用户的凭证。研究人员指出，其最终目的是通过网络共享协议传播恶意软件。

正如CPR所述，tabDLL分多个步骤进行了攻击，按顺序，该模块做了以下工作。

1.启用LSASS应用程序中的用户凭证信息存储。

2.将 "Locker "模块注入合法的explorer.exe应用程序中。

3.从被感染的explorer.exe中，强迫用户向应用程序输入登录凭证，然后锁定用户的会话。

4.将凭证存储在LSASS应用程序的内存中。

5.使用Mimikatz从LSASS应用程序内存中获取凭证，这是一个开源工具，用于从应用程序的内存中提取数据。

6.向C2报告凭证。

7.并且，利用EternalRomance漏洞通过SMBv1网络共享协议传播到网络内的其他目标。

TrickBot的'pwgrabc'模块

pwgrabc模块，正如它的名字所示，这是一个可以用于各种应用程序的全能凭证窃取器。

研究人员总结说，该活动使用了各种工具进行了很好的攻击组合。

他们说："根据我们的技术分析，我们可以看到TrickBot开发者的开发技能从一个非常低的水平提升到了可以进行恶意软件开发的水平，而且非常注意小细节。同时我们知道，这些基础设施的运营商在高水平的恶意软件开发方面也非常有经验。TrickBot目前仍然是一个非常危险的威胁"。

参考及来源：https://threatpost.com/trickbot-amazon-paypal-top-brands/178483/