你所在的位置: 首页 > 正文

TrickBot恶意软件学习如何垃圾邮件 诱捕250M电子邮件地址

2019-08-18 点击:1481
?

TrickBot是一种广为流传的经济动机恶意软件,据观察它可以感染受害计算机,窃取电子邮件密码并通过书籍传播来自受感染电子邮件帐户的恶意电子邮件。

%5C

TrickBot恶意软件最初于2016年被发现,但后来开发了新的功能和技术,以传播和入侵计算机以获取密码和凭据 - 最终专注于窃取资金。它具有高度适应性和模块化,允许其创建者添加新组件。在过去的几个月里,它已被纳入税收季节,试图窃取税务文件以赚取欺诈性回报。最近,恶意软件获得了cookie窃取,允许攻击者在没有密码的情况下作为受害者登录。

使用这些新的垃圾邮件功能,恶意软件 - 研究人员称之为“TrickBooster” - 从受害者的帐户发送恶意电子邮件,然后从发件箱和已发送的项目文件夹中删除已发送的邮件以避免检测到。

发现运行恶意软件垃圾邮件活动的服务器的网络安全公司Deep Instinct的研究人员表示,有证据表明该恶意软件迄今已收集了超过2.5亿个电子邮件地址。除了大量的Gmail,雅虎和Hotmail帐户外,研究人员还表示,美国政府机构和其他外国政府(如英国和加拿大)拥有恶意软件收集的电子邮件和凭据。

Deep Instinct首席执行官Guy Caspi告诉TechCrunch:“根据受影响的组织传播和收集尽可能多的电子邮件是有道理的。”“如果我想登录美国国务院的最后,我会传播尽可能多地收集尽可能多的地址或证书。“

%5C

如果受害者的计算机已经感染了TrickBot,它可以下载证书签名的TrickBooster组件,该组件将受害者的电子邮件地址和地址簿列表发送回主服务器,然后开始从受害者的计算机发送垃圾邮件。跑。

Caspi表示,该恶意软件使用伪造证书对组件进行签名,以帮助逃避检测。他说,许多证书是代表合法公司签发的,无需签署代码,如供暖或管道公司。

研究人员于6月25日首次发现了TrickBooster,并在一周后向发证机构报告该证书被撤销,使恶意软件更难以操作。

在确定了命令和控制服务器之后,研究人员获得并下载了2.5亿个电子邮件缓存。 Caspi说服务器没有受到保护,但由于连接问题“难以访问和通信”。

%5C

他们说,研究人员将TrickBooster描述为“TrickBot巨大的工具库的强大补充”,因为它可以悄悄地移动并逃避大多数反恶意软件供应商的检测。

bleepingcomputer

攀枝花新闻门户 版权所有© www.dgnuodiwujin.cn 技术支持:攀枝花新闻门户 | 网站地图