上周,在攻击活动中发现trickbot银行木马增加新能,现在能够窃取存储在coinbase.com账户窃取资金。2016年秋天, trickbot银行木马出现 ,大多数专家认为他是Dyre银行木马开发者开发的变种,Dyre银行木马开发者在2015年底于俄罗斯被捕。
trickbot银行木马发家史
由于恶意软件编码器与专业人员的介入,TrickBot从一开始就就具备了很多先进的功能。随着时间的推移,trickbot的能力从针对某个银行,开始向整个国家拓展,每个月的传播量越来越多。目前,trickbot有能力劫持跨国银行的门户网站,感染10多个国家的银行用户。
今年六月,trickbot进行了大幅度更新, 有能力攻击Paypal账户,并入侵多个知名CRM系统 。七月, trickbot增加了自我传播的蠕虫组件,进而可以使用SMB协议连接附近的电脑。
TrickBot银行木马添加了加密货币窃取功能
8月的更新和过去两个月一样有料。根据 Forcepoint 安全研究人员发现的 TrickBot 样本, TrickBot 在其配置文件中包含一个小结, 诱骗用户在浏览器中访问 Coinbase.com 时,登录假网站。
Coinbase 是当今最大的网络 加密货币 钱包服务商之一。比特币价格在星期五短短几分钟内就超过了5000美元, 然后持续徘徊在4500美元左右, 所以窃取一个人的 Coinbase 凭证的动机是显而易见的, 因为骗子可以将比特币或其他加密货币的资金转移到Coinbase 自己的帐户。
< sinj >
< mm >https://www.coinbase.com*< /mm >
< sm >https://www.coinbase.com/*< /sm >
< nh >sascpdibusvxghkoeltfjwznmrac.edu< /nh >
< url404 >< /url404 >
< srv >210.16.101.54:443< /srv >
< /sinj >
AI 代码解读
去年, Dridex 测试了他们的银行木马版本 , 可以从本地安装的比特币钱包应用程序转储数据。此版本的 TrickBot 不支持此功能, 但仅在访问网站时通过网络仿冒用户的 Coinbase 凭据。Forcepoint 说, 上周新版TrickBot银行木马,对加拿大帝国商业银行用户发起了钓鱼邮件攻击。
随着比特币的价格继续上涨, 我们很可能会看到TrickBot银行木马传播到其他国家。
原文发布时间:2017年9月4日
本文由:bleepingcomputer 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/trickbot-banking-trojan-updated#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
