行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Trickbot Trojan现在有一个单独的Cookie窃取模块
2019-07-04 10:22:58 【

威胁研究人员周二发现,Trickbot木马现在附带了一个用于窃取浏览器cookie的独立模块,标志着恶意软件开发的新进展。


2016年10月报道,Trickbot最初是一种银行木马,但不断更新使其成为一种多用途威胁,可以窃取应用程序中的敏感信息,发送垃圾邮件,以及在受感染的计算机上传送其他类型的恶意软件。


这个新模块被称为Cookie Grabber,它的目的只是为了窃取cookie  - 网站保存在浏览器中用于各种目的的文本,例如记住登录状态,网站偏好,个性化内容; 或用于跟踪用户的浏览活动。




Duncan发布了一篇简短的帖子,其中详细介绍了Trickbot最新模块生成的流量以及与其相关的工件,如在受感染的Windows主机上找到的。 以及在具有浏览器窃取模块的受感染Windows主机上找到的工件。


研究员Vitali Kremez也看到了Trickbot的新Cookie Grabber模块,并确认它可以作为恶意软件的独立附件。


“事实上,这是新的#TrickBot”#CookieGrabber“浏览器模块(带有本地数据库解析器)与通常的导出ord(Start,Control,Release,FreeBuffer)和dpost配置一起发布,”Kremez回复了Duncan关于Cookie Grabber的推文。




Kremez发现新模块的构建日期是6月27日,它针对所有主要Web浏览器的cookie存储数据库:Chrome,Firefox,Internet Explorer,Microsoft Edge。


cookie抓取器模块版本的构建日期是6月27日的“|” Cookie详细信息格式化主要浏览器的dpost发件人。pic.twitter.com/ZkLJ0DUzD4


-  Vitali Kremez(@VK_Intel),2019年7月2日

研究人员告诉BleepingComputer,Trickbot在另一个组件中捆绑了cookie窃取功能,但现在这是完全独立的,并附带自己的配置文件。


这意味着一旦交付给受害者主机,恶意软件操作员就可以独立于其他信息窃取功能来控制它。




Kremez认为,恶意软件作者意识到cookie抓取器在其他模块中并非绝对必要。 通过收集关于主机的这种类型的信息,操作员可以更好地分析受害者并定制攻击的后续步骤。


“我认为他们将每个功能分离成单独的模块化组件,”研究人员告诉我们。


这将提供对每个功能的更好控制,并使恶意软件更精简。 它还可以根据每个活动的目的灵活调整恶意软件功能。



】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇绕过防火墙过滤规则传输ICMP 下一篇新的Godlua恶意软件通过HTTPS通过..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800