虚假Office 365网站传播TrickBot银行木马-黑客接单平台

访客5年前黑客文章517
TrickBot银行木马是一款专门针对各国银行进行进犯的歹意样本,它之前被用于进犯全球多个国家的金融机构,首要经过垂钓邮件的 *** 进行传达,前不久还发现有黑产团伙使用它来传达Ryuk勒索病毒,最近MalwareHunterTeam的安全专家发现一个虚拟的Office 365网站,被用于传达TrickBot银行木马,相关的信息,如下所示: 黑产团伙创建了一个虚伪的Office 365网站,URL地址:https://get-office365.live, 翻开这个网站,如下所示: 然后经过这个网站给受害者分发伪装成Chrome和Firefox浏览器更新的TrickBot银行木马程序,如下所示: 受害者下载的更新程序其实便是TrickBot银行木马,检查app.any.run网站的链接如下所示: TrickBot银行木马中心功用剖析 1.银行木马在%appdata%mslibrary目录下生成银行木马模块中心组件模块,如下所示: 2.然后将它本身注册表服务,完成自发动,如下所示: 3.一起调用PowerShell脚本封闭Windows Defender软件,如下所示: 运用的PowerShell脚本指令,如下所示: 封闭Windows安全维护功用的开源代码,github地址: https://github.com/NYAN-x-CAT/Disable-Windows-Defender 有爱好的能够研究一下 4.跟之前TrickBot银行木马相同,发动svchost进程,然后将相应的模块注入到svchost进程,如下所示: 5.TrickBot银行木马下载的模块如下所示: 各个模块的功用: importDll32:盗取浏览器表单数据、cookie、历史记录等信息 injectDll32:注入浏览器进程,盗取银行网站登录凭据 mailsearcher32:搜集邮箱信息 networkDll32:搜集主机体系和 *** /域拓扑信息 psfin32:对进犯方针进行信息搜集,判别进犯意图 pwgrab32:盗取Chrome/IE暗码信息 shareDll32:下载TrickBot,经过同享传达 systeminfo32:搜集主机基本信息 tabDll32:使用IPC$同享和 *** B缝隙,结合shareDll32和wormDll32进行传达感染 wormDll32:下载TrickBot进行横向传达 6.TrickBot银行木马为了免杀,从长途服务器上下载回来的模块都是加密后的数据,再将这些数据解密,然后注入到svchost进程中,经过本地解密脚本,解密出来的模块,如下所示: 7.再经过解密脚本,解密出相应的配置文件,dinj文件内容如下所示: 里边包含了全球各大网上银行网站,这个模块注入的svchost进程中,当受害者拜访这些网站的时分,盗取网站登录凭据等,从内存中能够看到这些银行网址等信息,如下所示: 8.解密出来的dpost文件内容,如下所示: 9.解密出来的mailconf文件内容,如下所示: 在剖析某个模块的时分,发现模块的编译时刻为2019年6月14日,如下所示: [1][2]黑客接单网

相关文章

怎么手艺浸透测验Web应用程序(一):入门

在这个系列文章中,咱们将演示怎么手艺浸透测验web应用程序而不运用自动化东西。世界上大多数公司都十分重视对web应用程序的手艺测验,而不是运转web应用程序扫描器——由于它会约束你的常识和技术,影响在...

Python爬虫开发(三):数据存储以及多线程

本文咱们就两个方面来评论怎么改善咱们的爬虫:数据存储和多线程,当然我供认这是为咱们今后要评论的一些东西做衬托。 意图:一般咱们需求对爬虫捕捉的数据进行剖析,处理,再次使用或许格局化,明显咱们不能只是把...

一个主角被一老人传功后离家三年回来三年中认识了

Windows Server 2008 R2 for x64-based Systems Service Pack 13、在Windows 7, Windows Server 2008, and Wi...

编程难吗,彩票输了很多钱可以找黑客吗,网上黑客找手机版下载软件

5. 监听绑架或许修正方针的进入和外出数据,然后完成进犯。 [1][2]黑客接单渠道前语:/etc/network/interfaces和/etc/resolv.conf /// 写vb...

专业黑客接单多少钱_找一本从坐牢出的黑客小说

依据360反勒索服务计算的数据,2018年GandCrab、GlobeImposter、CrySis这三大宗族勒索病毒的受害者最多,算计占比约80.2%。 本年度的活泼宗族除了少量病毒,都有针对政企用...

危机处理方案,黑客技术联系QQ,一名黑客可以找什么工作

在之行进行逻辑剖析的时分咱们发现,不论无人机是1ms跳频一次仍是7ms跳频一次,它实践上只会接纳跳频结束后最早发给它的合法数据包。 正常状况下或许是跳频结束后的第5ms时,收到了遥控器发过来的数据,再...