TrickBot是一个广泛流传的经济动机的恶意软件,据观察,它会感染受害者的计算机,窃取电子邮件密码并通过书籍来传播来自受感染电子邮件帐户的恶意电子邮件。
TrickBot恶意软件于2016年首次被发现,但后来开发了新的功能和技术来传播和入侵计算机以获取密码和凭据 – 最终着眼于窃取资金。它具有高适应性和模块化,允许其创建者添加新组件。在过去的几个月里,它被改编为税收季节,试图窃取税务文件以赚取欺诈性回报。最近,恶意软件获得了cookie窃取功能,允许攻击者作为受害者登录而无需密码。
利用这些新的垃圾邮件功能,恶意软件 – 研究人员称之为“TrickBooster”- 从受害者的帐户发送恶意电子邮件,然后从发件箱和已发送的项目文件夹中删除已发送的邮件以避免被检测到。
网络安全公司Deep Instinct的研究人员,谁发现运行恶意软件垃圾邮件活动的服务器,他们说有证据表明该恶意软件迄今已收集了超过2.5亿个电子邮件地址。除了大量的Gmail,雅虎和Hotmail帐户外,研究人员还表示,美国政府部门和其他外国政府(如英国和加拿大)拥有恶意软件收集的电子邮件和凭据。
Deep Instinct的首席执行官盖伊卡斯皮(Guy Caspi)告诉TechCrunch说:“基于受影响的组织,尽可能广泛传播并收获尽可能多的电子邮件是很有意义的。”“如果我要登陆美国国务院的终点,我会尽可能地扩散并尽可能地收集任何地址或凭证。”
如果受害者的计算机已经感染了TrickBot,它可以下载经过证书签名的TrickBooster组件,该组件将受害者的电子邮件地址和地址簿列表发送回主服务器,然后开始发送垃圾邮件,从受害者的计算机上运行。
Caspi表示,该恶意软件使用伪造证书对组件进行签名,以帮助逃避检测。他说,许多证书是以合法企业的名义签发的,无需签署代码,如供暖或管道公司。
研究人员于6月25日首次发现TrickBooster,并在一周后向颁发证书颁发机构报告,该证书撤销了证书,使恶意软件更难以运作。
在确定了命令和控制服务器之后,研究人员获得并下载了2.5亿个电子邮件缓存。Caspi说服务器没有受到保护,但由于连接问题“难以访问和通信”。
他们表示,研究人员将TrickBooster描述为“TrickBot庞大的工具库的强大补充”,因为它能够悄悄地移动并逃避大多数反恶意软件供应商的检测。
来源:bleepingcomputer
领取优惠
提交成功!