2018年11月，研究人员曾发现一款Trickbot变种，它附带了一个密码获取模块，能够从众多应用程序中窃取凭据。在2019年1月，我们再次发现Trickbot（被检测为TrojanSpy.Win32.TRICKBOT.AZ和Trojan.Win32.MERETAM.AD），在其本就已经广泛的功能基础上又添加了新的功能。在最新发现的Trickbot变种中，研究人员发现了pwgrab模块的更新版本，可以远程窃取应用程序凭据。

Trickbot恶意软件

TrickBot于2016年首次被发现，据信它基于Dyreza银行木马。它能够使用webinjects模块定位和感染各种各样的国际银行，在目标Web浏览器中呈现之前将JavaScript和HTML代码注入网站。

TrickBot攻击主要目的是盗取钱财，如银行账号、比特币账号。一般伪装成如汇丰银行、花旗银行、合众银行等银行相关文档作为邮件附件，文档内容仿真度高，很难辨真假。用户一旦打开该文档，会自动执行恶意代码，利用Office漏洞下载TrickBot恶意软件。

感染链

恶意软件感染链

技术分析

该恶意软件是通过一封伪造的电子邮件发送到目标设备上的，它伪装成来自一家知名金融服务公司的税收鼓励通知。此电子邮件包含一个宏启用（XLSM）的Microsoft Excel电子表格附件（检测为Trojan.W97M.MERETAM.A），自称其中包含税收鼓励的详细信息。然而与大多数恶意电子邮件一样，很明显这是一个恶意宏，一旦激活就会在用户的设备上下载和部署Trickbot。

包含启用恶意宏附件的垃圾邮件

所附电子表格文档的屏幕截图

此Trickbot变种很大程度上与去年11月发现的变种类似，但其2019版本新增了三个功能，分别用于虚拟网络计算（VNC），PuTTY和远程桌面协议（RDP）平台。

2018版（上）和2019版（下）两个变种的pwgrab模块对比，注意新版代码中增加的函数

发送RDP凭据的C&C通信量

这些新函数执行的技术之一是通过XOR或SUB例程的简单变体对其使用的字符串进行加密。

XOR例程（上）和SUB例程（下）字符串加密

除此之外，它还利用API哈希进行间接API调用，这是由于2013年Carberp木马源代码泄漏。

来自Carberp源代码的API哈希工件

虚拟网络计算（VNC）

为了获取VNC凭据，pwgrab模块使用位于以下目录中的“.vnc.lnk ”来搜索文件：

%APPDATA%/Microsoft/Windows/Recent

%USERPROFILE%/Documents, %USERPROFILE%/Downloads

被盗数据信息包括目标设备的主机名、端口和代理设置。

pwgrab如何在%USERPROFILE%/Downloads目录中找到“.vnc.lnk”文件

该模块将通过POST发送所需的数据，POST使用文件名“dpost ”通过下载的配置文件进行配置。此文件包含一个命令和控制（C＆C）服务器列表，这些服务器将接收从受害者那儿泄露的数据。

泄露信息发送至C＆C服务器

PuTTY

为了检索PuTTY凭据，它会查询注册表项Software/SimonTatham/Putty/Sessions以识别已保存的连接设置，从而允许模块检索用于身份验证的信息，如主机名、用户名以及私钥文件。

PuTTY数据导出的注册表遍历（左）；显示主机名、用户名和私钥文件的代码（右）

远程桌面协议（RDP）

它与RDP相关的第三个函数使用CredEnumerateA API来识别和窃取保存的凭据。随后解析字符串“target = TERMSRV”以识别每个RDP凭证保存的主机名、用户名和密码。

总结

这些Trickbot的新增功能展示了其开发人员的“勃勃野心”：针对现有恶意软件的逐步演变。Trickbot背后的团体或个人并没有满足于现状，使本已危险的恶意软件更加有效。既然此Trickbot恶意软件最初是通过电子邮件进行传播的，我们建议用户不要随意打开电子邮件附件，除非确定它们来自合法来源。

妥协指标IOCs

Trickbot（检测为TrojanSpy.Win32.TRICKBOT.AZ）

374ef83de2b254c4970b830bb93a1dd79955945d24b824a0b35636e14355fe05

Trickbot（检测为Trojan.Win32.MERETAM.AD）

Fcfb911e57e71174a31eae79433f12c73f72b7e6d088f2f35125cfdf10d2e1af