最新版本的TrickBot银行木马现在包括一个screenlocker组件,表明如果受感染的目标似乎不是电子银行用户,恶意软件的运营商可能很快就会开始为受害者勒索赎金。好消息是屏幕锁定机制尚未完全发挥功能,并且似乎仍在开发中。尽管如此,安全研究人员已经发现新模块落在受害者的计算机上,这表明开发已经足够先进到实地试验。
新的screenlocker模块仍在开发中
screenlocker模块是TrickBot在受害者计算机上丢弃的许多文件之一。 这个新TrickBot模块的首次发现可以追溯到3月15日的上周。
TrickBot虽然以主要是银行木马而闻名,但近年来发展成为“恶意软件滴管”。
TrickBot作者通过专门下载各种TrickBot模块的恶意软件来感染受害者 – 这些模块负责各种操作。 以前已知的模块包括实际的银行木马(浏览器注入器),还包括一个从受感染主机发送垃圾邮件的模块,以及一个用于在大型网络内横向移动的SMB自我复制蠕虫。
3月15日,最初的TrickBot dropper开始下载名为tabDll32.dll(或tabDll64.dll)的文件,该文件删除了三个名为:
Spreader_x86.dll – TrickBot模块,通过利用EternalRomance和可能由MS17-010安全补丁修补的其他攻击,尝试通过SMB在同一网络上传播到其他计算机。
SsExecutor_x86.exe – 与第一个一起使用的TrickBot模块,意味着在初始妥协后运行。 模块还会在受感染的计算机上建立启动持久性。
ScreenLocker_x86.dll – TrickBot模块,用于锁定受感染的计算机屏幕。 它不加密文件。 模块不起作用。
Interesting PDB references in TrickBot’s new module. pic.twitter.com/z5Q40ZOqlm
— MalwareTech (Research) (@MalwareTechLab) March 21, 2018
为企业网络开发的Screenlocker模块
突出的事实是,TrickBot自2017年夏季以来已经拥有SMB自扩散蠕虫组件,并将其作为名为wormDll32.dll的文件下载。
通过这个新发现的模块丢弃的所有三个文件似乎被设计为一个接一个地工作,忽略原始蠕虫组件,并且在通过网络横向扩展之后触发屏幕锁。
这导致安全研究人员相信,该模块是一种单击方法,可以在公司网络中通过单击方式获利,从而使用户不太可能使用电子银行服务,而独立于最初的SMB蠕虫。
“如果TrickBot开发人员正在尝试完成这种锁定功能,这会引发对该集团商业模式的有趣猜测,”安全公司Webroot的高级威胁研究分析师Jason Davison说。
“值得注意的是,这种锁定功能仅在横向移动后部署,这意味着它将用于主要针对未打补丁的企业网络,”Davison补充道。 “在企业网络中,用户不可能定期访问目标银行网址,与锁定潜在的数百台机器相比,提取银行凭证是一种不太成功的赚钱模式。”
尽管在当前版本中没有观察到文件加密操作,但这并不意味着当前模块将不会收到进一步更新以展示全功能加密勒索软件的行为。
原文:https://www.bleepingcomputer.com/news/security/trickbot-banking-trojan-gets-screenlocker-component/