虚假Office 365网站传播TrickBot银行木马

 

TrickBot银行木马是一款专门针对各国银行进行攻击的恶意样本，它之前被用于攻击全球多个国家的金融机构，主要通过钓鱼邮件的方式进行传播，前不久还发现有黑产团伙利用它来传播Ryuk勒索病毒，最近MalwareHunterTeam的安全专家发现一个虚拟的Office 365网站，被用于传播TrickBot银行木马，相关的信息，如下所示：

黑产团伙创建了一个虚假的Office 365网站，URL地址：https://get-office365.live, 打开这个网站，如下所示：

然后通过这个网站给受害者分发伪装成Chrome和Firefox浏览器更新的TrickBot银行木马程序，如下所示：

受害者下载的更新程序其实就是TrickBot银行木马，查看app.any.run网站的链接如下所示：

TrickBot银行木马核心功能剖析

1.银行木马在%appdata%mslibrary目录下生成银行木马模块核心组件模块，如下所示：

2.然后将它自身注册表服务，实现自启动，如下所示：

3.同时调用PowerShell脚本关闭Windows Defender软件，如下所示：

使用的PowerShell脚本命令，如下所示：

关闭Windows安全保护功能的开源代码，github地址：

https://github.com/NYAN-x-CAT/Disable-Windows-Defender

有兴趣的可以研究一下

4.跟之前TrickBot银行木马一样，启动svchost进程，然后将相应的模块注入到svchost进程,如下所示：

5.TrickBot银行木马下载的模块如下所示：

各个模块的功能：

importDll32：窃取浏览器表单数据、cookie、历史记录等信息

injectDll32：注入浏览器进程，窃取银行网站登录凭据

mailsearcher32：收集邮箱信息

networkDll32：收集主机系统和网络/域拓扑信息

psfin32：对攻击目标进行信息收集，判断攻击目的

pwgrab32：窃取Chrome/IE密码信息

shareDll32：下载TrickBot，通过共享传播

systeminfo32：收集主机基本信息

tabDll32：利用IPC$共享和SMB漏洞，结合shareDll32和wormDll32进行传播感染

wormDll32：下载TrickBot进行横向传播

6.TrickBot银行木马为了免杀，从远程服务器上下载回来的模块都是加密后的数据，再将这些数据解密，然后注入到svchost进程中，通过本地解密脚本，解密出来的模块，如下所示：

7.再通过解密脚本，解密出相应的配置文件，dinj文件内容如下所示：

里面包含了全球各大网上银行网站，这个模块注入的svchost进程中，当受害者访问这些网站的时候，盗取网站登录凭证等，从内存中可以看到这些银行网址等信息，如下所示：

8.解密出来的dpost文件内容，如下所示：

9.解密出来的mailconf文件内容，如下所示：

在分析某个模块的时候，发现模块的编译时间为2019年6月14日，如下所示：

TrickBot银行木马是一款非常复杂的银行木马，里面涉及到的模块非常之多，每个模块对应不同的功能，笔者曾写过多篇关于银行木马的分析报告，包括：TrickBot、Ursnif、Emotet、Redaman、Dridex等家族，有兴趣可以去查阅，银行木马一直是分析人员研究的重点，每个银行木马家族都是一种复杂的恶意样本，需要花费分析人员大量的时间，有时候可能需要一周，几周或更长的时间进行样本的详细分析，有一些黑产团伙专门从事银行木马的开发运营活动，已经获得了巨大的利润，一款银行木马如果被运营的好少则可以带来上亿美元的收入，多的可以十几亿美元的收入，同时还有一些银行木马最近几年充当其他恶意软件的下载器，用于传播其它恶意软件，就像之前Ryuk勒索病毒就曾发现利用TrickBot银行木马进行传播，事实上高端复杂的攻击样本，都是需要花费分析人员大量的时间进行深入研究的

本文转自：安全分析与研究