Trickbot为其剧目增加了远程应用程序凭证抓取功能

来源

https://blog.trendmicro.com/trendlabs-security-intelligence/trickbot-adds-remote-application-credential-grabbing-capabilities-to-its-repertoire/

感染链

在2018年11月，我们介绍了一个带有密码获取模块的Trickbot变体，从众多应用程序中窃取凭据。在2019年1月，我们看到了Trickbot（被检测为TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD），其新功能被添加到已经广泛的技巧中。恶意代码作者显然没有更新Trickbot - 我们最近发现了一个新变种，使用了pwgrab模块的更新版本，可以获取远程应用程序凭据。

图1.恶意软件的感染链

技术分析

恶意软件通过把电子邮件伪装成来自主要金融服务公司的税收激励通知。此电子邮件包含一个启用宏的（XLSM）Microsoft Excel电子表格附件（检测为Trojan.W97M.MERETAM.A），据称其中包含税收激励的详细信息。

图2.包含恶意启用宏的附件的垃圾邮件。

图3.附加的电子表格文档的屏幕截图

2019版增加了三个新功能，分别用于虚拟网络计算（VNC），PuTTY和远程桌面协议（RDP）平台。

图4. 2018年11月（上图）和2019年1月（下图）的pwgrab模块的比较。请注意代码中添加的功能。

图5.发送RDP凭据的C＆C流量。

通过XOR或函数的简单变体对其使用的字符串进行加密。

图6. XOR例程（顶部）和SUB例程（底部）字符串加密。

还利用API HASH进行间接API调用，这突出归因于2013年Carberp木马源代码泄漏。

图7. Carberp源代码中的API HASH工件。

VNC

要获取VNC凭据，pwgrab模块使用位于以下目录中的“ * .vnc.lnk ” 附件搜索文件：

%APPDATA%MicrosoftWindowsRecent
%USERPROFILE%Documents,%USERPROFILE%Downloads

被盗信息包括目标机器的主机名，端口和代理设置。