研究人员上周发现TrickBot银行木马, TrickBot新增功能将目标瞄向美国最火爆的加密货币钱包服务平台Coinbase.com,以窃取该平台账户中的加密货币资金。
TrickBot银行木马2016年秋天首度浮出水面,大多数专家认为这款木马由Dyre银行木马的部分开发人员开发。
TrickBot短暂的历史过往
鉴于TrickBot从一开始就具备许多高级功能,开发人员可能具备渊博的专业知识。TrickBot不断攻击网上银行,波及的国家也越来越多,刚开始主要针对澳大利亚。而如今,TrickBot能感染用户,并挂上虚假网页,从而劫持十多个国家的银行门户网站。
今年6月,TrickBot完成更新,并将目标瞄向PayPal账户和几个知名客户关系管理系统(CRM)的登录页面。时隔一个月之后,不断忙碌的TrickBot开发人员在这款木马中新增了自行传播蠕虫的组件,为这款银行木马赋予使用SMB连接传播到附近的计算机的能力。
TrickBot新增功能攻击加密货币用户
安全公司Forcepoint研究人员发现的TrickBot样本显示,TrickBot的配置文件中包含一个能在用户访问(通过浏览器)Coinbase.com时挂上虚假登录页面的功能。
Coinbase是美国知名加密货币钱包服务商与交易所。上周五,比特币价格几分钟之内冲破5000美元,并一度保持在4500美元左右,因此窃取用户Coinbase登录凭证是一大诱惑,因为不法分子可以秘密将被劫持Coinbase账户的比特币或其它加密货币资金转移到自己账户。
去年,Dridex开发人员测试Dridex,当时这款银行木马能从本地安装的比特币钱包应用中窃取数据。然而,新版TrickBot不具备该功能,只会在用户网站Coinbase网站时窃取凭证。
Forcepoint表示,上周发现的TrickBot木马伪装成加拿大帝国商业银行(简称CIBC)发送的文档,这表明该版TrickBot仅针对加拿大用户。
文档中包含宏下载器,最终会下载并执行Trickbot变种。
随着比特币价格继续疯涨,该版TrickBot可能会感染其它国家的用户。
本文转自d1net(转载)