Trickbot是众所周知的金融木马，以大型银行的客户为目标并窃取他们的凭证。Trickbot同时也是一种模块化的恶意软件，包含了多种不同功能的模块。自2016年以来，它就一直保持活跃并不断衍生出现的变种，且每次更新都会有新的技巧和模块加入。

具体而言，Trickbot所包含的模块大致具有以下功能，这包括从浏览器窃取数据、从Microsoft Outlook窃取数据、锁定受害者计算机、收集系统信息、收集网络信息和窃取域凭证等。

最近，Cyberbit恶意软件研究团队对最新的Trickbot变种进行了研究，以了解它与以前的变种有何不同，并充分了解其新的行为和技巧。这份研究成果显示，Trickbot的新变种采用了一种隐藏代码注入技术，涉及到使用直接系统调用、反分析技术和禁用安全工具来执行进程挖空。从某种意义上来说，这个新变种的行为模式有点类似于Flokibot银行木马。

新变种是通过一个包含宏代码的Word文档下载的，这一说法最初被发布在Twitter上，并得到了Cyberbit团队的证实。有意思的是，即使单击了“enable content”以启用宏，该文档也不会执行它所包含的宏代码，直到用户对文档进行了缩放操作。Cyberbit团队表示，这很可能是为了规避沙箱检测，但同时也会使不会缩放文档的用户免受其害。

与大多数恶意宏一样，这里的宏也被进行了混淆。它最终会执行一个PowerShell脚本，用于下载和执行Trickbot。在经过反混淆和重命名之后，这个PowerShell脚本看起来像是以下这个样子：

在开始执行时，这个Trickbot新变种会通过调用Sleep（30000）来休眠30秒，以规避沙箱检测。然后，它会使用RSA算法来解密它的资源，用于执行恶意行为。我们可以看到，与以前的版本一样，这个新变种也会将自身及其加密模块复制到C:\Users\%USERNAME%\AppData\Roaming\msnet中。

值得注意的是，这个新变种还会通过以下命令来禁用和删除Windows Defender服务（第三条是一个PowerShell命令，用于禁用Windows Defender的实时监控）：

• exe /c sc stop WinDefend
• exe /c sc delete WinDefend
• exe /c powershell Set-MpPreference -DisableRealtimeMonitoring $true

TrickBot最初只是一个将银行作为其攻击目标的木马病毒，并借助诸如Necurs这样的僵尸网络大肆传播。随着加密货币的普及，它也将目光转向了加密货币交易平台，并且同时针对了多个不同的币种。再到后来更是添加了“锁屏（screenlocker）”组件，似乎想要通过锁定受害者的计算机屏幕来勒索赎金以非法获利。

从Cyberbit团队所分析的新变种来看，TrickBot仍在被不断开发，其执行进程挖矿的方式与Flokibot木马非常相似，这似乎透露出这两种木马病毒之间共享了一些代码。另外，我们还看到这个TrickBot新变种为了规避检测还会禁用和删除Windows Defender服务，这无疑会使受害者面临更为广泛的潜在威胁。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。