虚假Office 365网站传播TrickBot银行木马-黑客接单平台

访客5年前黑客文章516
TrickBot银行木马是一款专门针对各国银行进行进犯的歹意样本,它之前被用于进犯全球多个国家的金融机构,首要经过垂钓邮件的 *** 进行传达,前不久还发现有黑产团伙使用它来传达Ryuk勒索病毒,最近MalwareHunterTeam的安全专家发现一个虚拟的Office 365网站,被用于传达TrickBot银行木马,相关的信息,如下所示: 黑产团伙创建了一个虚伪的Office 365网站,URL地址:https://get-office365.live, 翻开这个网站,如下所示: 然后经过这个网站给受害者分发伪装成Chrome和Firefox浏览器更新的TrickBot银行木马程序,如下所示: 受害者下载的更新程序其实便是TrickBot银行木马,检查app.any.run网站的链接如下所示: TrickBot银行木马中心功用剖析 1.银行木马在%appdata%mslibrary目录下生成银行木马模块中心组件模块,如下所示: 2.然后将它本身注册表服务,完成自发动,如下所示: 3.一起调用PowerShell脚本封闭Windows Defender软件,如下所示: 运用的PowerShell脚本指令,如下所示: 封闭Windows安全维护功用的开源代码,github地址: https://github.com/NYAN-x-CAT/Disable-Windows-Defender 有爱好的能够研究一下 4.跟之前TrickBot银行木马相同,发动svchost进程,然后将相应的模块注入到svchost进程,如下所示: 5.TrickBot银行木马下载的模块如下所示: 各个模块的功用: importDll32:盗取浏览器表单数据、cookie、历史记录等信息 injectDll32:注入浏览器进程,盗取银行网站登录凭据 mailsearcher32:搜集邮箱信息 networkDll32:搜集主机体系和 *** /域拓扑信息 psfin32:对进犯方针进行信息搜集,判别进犯意图 pwgrab32:盗取Chrome/IE暗码信息 shareDll32:下载TrickBot,经过同享传达 systeminfo32:搜集主机基本信息 tabDll32:使用IPC$同享和 *** B缝隙,结合shareDll32和wormDll32进行传达感染 wormDll32:下载TrickBot进行横向传达 6.TrickBot银行木马为了免杀,从长途服务器上下载回来的模块都是加密后的数据,再将这些数据解密,然后注入到svchost进程中,经过本地解密脚本,解密出来的模块,如下所示: 7.再经过解密脚本,解密出相应的配置文件,dinj文件内容如下所示: 里边包含了全球各大网上银行网站,这个模块注入的svchost进程中,当受害者拜访这些网站的时分,盗取网站登录凭据等,从内存中能够看到这些银行网址等信息,如下所示: 8.解密出来的dpost文件内容,如下所示: 9.解密出来的mailconf文件内容,如下所示: 在剖析某个模块的时分,发现模块的编译时刻为2019年6月14日,如下所示: [1][2]黑客接单网

相关文章

莫课网,如何找一名黑客师傅,黑客找什么工作

带咱们科普一下通用缝隙评分体系简称CVSS,作为网络安全职业的揭露规范,CVSS被规划用来评测缝隙的严峻程度,从0.0到10.0的级别对缝隙进行评分,这其间又首要分为三级。 publi...

如何恢复手机短信_黑客破解身伤证查询QQ联系人软件-手机丢了找黑客

-a显现是活着的方针 Initiating Traceroute at 09:581# 进行流量转发,让方针流量通过本机http://www.xxx.com/include/dialog/ …...

编程怎么学,青岛网络黑客联系方式,找黑客破解qq要多少钱

Desc: Please checkin at IRC Level Goal其间一个就能够了完成IScannerCheck类之后,完成 doPassiveScan函数。 咱们的检测操作就放在这个...

破解qq相册密码,上海昌硕黑名单找黑客,网赌找黑客追钱可信吗

一个谷歌团队的成员告诉她“感谢你的来信,可是咱们并不将这个缝隙看作安全缝隙”。 缝隙剖析:select * from admin where id=1e0union select 1,'2',db_n...

从 WTForm 的 URLXSS 谈开源组件的安全性

0x00 开源组件与开源运用 开源组件是咱们咱们平常开发的时分必不行少的东西,所谓『不要重复造轮子』的原因也是因为,许多封装好的组件咱们在开发中能够直接调用,减少了重复开发的工作量。 开源组件和开源...

诚信黑客接单,找一个王者荣耀黑客,五邑大学找黑客改分会不会被捉

x=eval(' assert(str_rot13("flfgrz("jubnzv")")) ;') function test_get() {...