前言

　　TrickBot通過不斷增加竊取用戶憑證的新模塊而不斷進化，我們已發布的最新進展是關于它的pwgrab32模塊。最近，我們又發現了一個新的POS相關的惡意模塊，使得該銀行木馬更加危險。一旦受感染的計算機連接到支持POS服務和設備的網絡，新模塊將開始活動。

　　我們目前正在研究惡意軟件的作者是如何利用這些信息的，因為他們已經成功滲透了安裝了POS相關服務的網絡，但卻沒有獲取信用卡，ATM或其他銀行相關的特定數據。在此階段，他們可能正在收集信息，以便為將來的入侵做準備。

　　psfin32模塊分析

　　新模塊psfin32與其之前的信息收集模塊類似，但做了一些修改，僅識別特定網絡中POS相關的內容。該模塊通過域控制器和基本帳戶識別網絡中的POS服務，并使用LDAP查詢來訪問Active Directory服務（ADS，負責存儲有關網絡上對象的信息）。LDAP查詢在全局編錄的DNS主機名中搜索包含以下字符串的計算機：

　　如果未查詢到任何信息，它還會根據以下內容對網絡中的不同帳戶或對象執行其他查詢：

　　sAMAccountName：用于支持舊版Windows操作系統版本，如Windows NT 4.0，Windows 95，Windows 98和LAN Manager

　　網站名稱：

　　組織單位（OU）：

　　除域控制器外，它還使用UserAccountControl（UAC）8192向網絡中具有基本帳戶或用戶的計算機發送查詢。

　　一旦TrickBot收集到了信息，它就會將信息存儲到其預先配置的“Log”文件中，通過POST方式發送到其C＆C服務器Dpost上。如果無法訪問C＆C服務器，則會提示“Dpost服務器不可用”，否則提示會顯示“報告已成功發送”。

　　考慮到模塊的部署時間，威脅參與者可能正在利用假期來收集和發送信息，特別是在Brad Duncan在ISC上發表了相關報告之后，該報告討論了針對美國的關于TrickBot宏的惡意垃圾郵件活動。雖然當時分析的樣本文件和URL已無法訪問，但依然對個人和企業起到警告作用：不要打開可疑的電子郵件，文件和附件。

　　防范策略

　　鑒于TrickBot的模塊化特性，我們可以預期它會有更多的變種，使其更難以檢測和防御。個人和企業可以通過多層防御使自己免受像TrickBot這樣的銀行木馬侵害。同時確保只安裝，下載和瀏覽白名單下的應用程序和站點。

　　Indicator of Compromise　　

責任編輯：韓希宇