TrickBot银行木马是一款专门针对各国银行进行进犯的歹意样本，它之前被用于进犯全球多个国家的金融机构，首要经过垂钓邮件的 *** 进行传达，前不久还发现有黑产团伙使用它来传达Ryuk勒索病毒，最近MalwareHunterTeam的安全专家发现一个虚拟的Office 365网站，被用于传达TrickBot银行木马，相关的信息，如下所示： 黑产团伙创建了一个虚伪的Office 365网站，URL地址：https://get-office365.live, 翻开这个网站，如下所示： 然后经过这个网站给受害者分发伪装成Chrome和Firefox浏览器更新的TrickBot银行木马程序，如下所示： 受害者下载的更新程序其实便是TrickBot银行木马，检查app.any.run网站的链接如下所示： TrickBot银行木马中心功用剖析 1.银行木马在%appdata%mslibrary目录下生成银行木马模块中心组件模块，如下所示： 2.然后将它本身注册表服务，完成自发动，如下所示： 3.一起调用PowerShell脚本封闭Windows Defender软件，如下所示： 运用的PowerShell脚本指令，如下所示： 封闭Windows安全维护功用的开源代码，github地址： https://github.com/NYAN-x-CAT/Disable-Windows-Defender 有爱好的能够研究一下 4.跟之前TrickBot银行木马相同，发动svchost进程，然后将相应的模块注入到svchost进程,如下所示： 5.TrickBot银行木马下载的模块如下所示： 各个模块的功用： importDll32：盗取浏览器表单数据、cookie、历史记录等信息 injectDll32：注入浏览器进程，盗取银行网站登录凭据 mailsearcher32：搜集邮箱信息 networkDll32：搜集主机体系和 *** /域拓扑信息 psfin32：对进犯方针进行信息搜集，判别进犯意图 pwgrab32：盗取Chrome/IE暗码信息 shareDll32：下载TrickBot，经过同享传达 systeminfo32：搜集主机基本信息 tabDll32：使用IPC$同享和 *** B缝隙，结合shareDll32和wormDll32进行传达感染 wormDll32：下载TrickBot进行横向传达 6.TrickBot银行木马为了免杀，从长途服务器上下载回来的模块都是加密后的数据，再将这些数据解密，然后注入到svchost进程中，经过本地解密脚本，解密出来的模块，如下所示： 7.再经过解密脚本，解密出相应的配置文件，dinj文件内容如下所示： 里边包含了全球各大网上银行网站，这个模块注入的svchost进程中，当受害者拜访这些网站的时分，盗取网站登录凭据等，从内存中能够看到这些银行网址等信息，如下所示： 8.解密出来的dpost文件内容，如下所示： 9.解密出来的mailconf文件内容，如下所示： 在剖析某个模块的时分，发现模块的编译时刻为2019年6月14日，如下所示： [1][2]黑客接单网