Trickbot网银木马通过垃圾邮件传播

2019年5月20日,美国的趋势科技网络安全公司发布报告称发现了Trickbot恶意软件通过垃圾邮件中的URL重定向进行传播。该恶意软件影响Windows操作系统平台,主要恶意行为是盗窃网上银行账号和PoS机中的用户隐私信息等。攻击者采用发送垃圾邮件的方式向受害者投放Trickbot恶意软件,邮件名称使用订单等主题,邮件正文中描述了订单的相关信息,攻击者使用了一个URL诱使受害者查看订单详情。当受害者点击URL,会从Google重定向到攻击者指定的URL下载压缩包。压缩包中包含有一个VBS脚本程序,其作为Trickbot恶意软件的下载器。运行后会从攻击者指定的地址下载并运行Trickbot恶意软件。通过对Trickbot恶意软件进行分析,其具有多个功能模块,可以窃取浏览器中保存的历史记录等信息,向浏览器注入恶意代码以便获取用户的网银信息,通过搜索文件的方式获得用户的电子邮件地址信息,将获取的用户网络环境信息发送到指定的服务器,利用LDAP协议收集存储POS机的网络信息,可以获取应用程序中保存的密码,从远程服务器下载恶意程序实现自身的驻留,获取系统的CPU、内存等信息,还可以利用微软的MS17-010漏洞进行后续的攻击活动。