最近发现一个版本的TrickBot显示出对Windows问题历史记录数据的浓厚兴趣,其程度已经超过银行***的正常范围。

微软在Windows操作系统上运行可靠性分析组件(RAC),向可靠性监视器提供有关软件安装、升级、操作系统和应用程序错误以及硬件相关问题的详细信息。为此,它每小时使用RACAgent调度任务,并将所有数据转储到本地文件夹。用户可以从任务调度器applet禁用这些详细信息的集合,但这样做将不再拥有监视器的系统稳定性。

网络钓鱼活动揭示了TrickBot的新兴趣方向

对 My Online Security的网络钓鱼活动进行的分析显示,上周发现的TrickBot变体主要集中在读取和获取操作系统可靠性数据库以及C:\ ProgramData \ Microsoft \ RAC \下可用的信息。安全研究员James在Twitter上发布了一份由恶意软件拖拽的文件列表:

目前还不清楚这类数据会对幕后人士有什么好处,不过其目的有可能是恶意的,例如更好地使用网络钓鱼电子邮件对目标进行定位。

TrickBot通过假Lloyds银行电子邮件发送

此活动使用地址'donotreply@lloydsbankdocs.com'向TrickBot发送声称来自Lloyds Bank的消息,这很容易被误认为是来自该银行的真实邮件。

欺诈者努力制作看起来可信度高的消息,诱使潜在的受害者打开包含恶意宏的附加文档。一旦启用,宏代码将下载并执行TrickBot。

网络钓鱼电子邮件

附在电子邮件上的Office Word文档包含Lloyds Bank标志,使其看起来真实。此外,骗子还添加了赛门铁克徽标,让文件看起来好像通过了安全解决方案的验证。

尽管幕后行动者努力隐藏活动的恶意性质,但该文件目前至少被VirusTotal上的30个防病毒引擎检测为恶意文件。