2019年11月，Trend Micro研究人员发现一个含有暗码盗取模块的Trickbot变种，该暗码盗取模块能够从很多的运用中盗取凭据。2019年1月，研究人员发现一个参加了多个功用的Trickbot变种，但歹意软件开发者并没有更新Trickbot，而是运用了一个更新了能够盗取长途运用凭据的pwgrab模块。
感染链

图1. 歹意软件感染链
技能剖析
歹意软件是经过伪装为来自首要金融服务公司的税收鼓励告诉的邮件进行传达的。邮件含有一个启用宏的Excel附件，其间含有税收鼓励的细节。附件中的宏文件是歹意的，运用激活后会在用户机器上下载和运用Trickbot。
 

图2. 含有启用了歹意宏的附件的垃圾邮件
 

图3. 附件中的文档截图
Trickbot变种于研究人员在2019年11月发现的变种十分类似。但2019年版别的变种参加了3个功用，别离对应Virtual Network Computing (VNC), PuTTY, 和Remote Desktop Protocol (RDP)渠道。
 

图4. 2019年11月（上）和2019年1月（下）pwgrab模块比较

图5. C&C流量和发送的RDP凭据
这些函数运用的技能包括经过XOR或SUB对字符串进行加密。

图6. XOR (上) 和SUB(下)字符串加密
歹意软件为非直接的API调用运用API哈希，这归属于2013年Carberp木马的源码走漏。
 

图7. Carberp源码中的API哈希
VNC
为了获取VNC凭据，pwgrab模块会运用坐落以下目录的*.vnc.lnk来搜索文件：
%APPDATA%MicrosoftWindowsRecent
%USERPROFILE%Documents, %USERPROFILE%Downloads
盗取的信息方针机器的主机名、端口和署理设置。
 

图8. Pwgrab在%USERPROFILE%Downloads目录定位vnc.lnk文件
该模块会经过POST发送有必要的数据，运用文件名dpost的下载的装备文件进行装备。该文件含有C2服务器会接纳来自受害者的盗取数据。
 

图9. 发送给C2服务器的盗取的数据
PuTTY
为了提取PuTTY凭据，歹意软件会查询注册表SoftwareSimonTathamPuttySessions来辨认保存的衔接设置，这答应模块来提取Hostname, Username, Private Key Files等用于认证的文件。

图10.用于Putty数据盗取的注册表遍历（左）、显现hostname, username 和Private Key Files的代码（右）
RDP
第三个功用于RDP有关，运用CredEnumerateA API来辨认和盗取保存的凭据。然后歹意软件会剖析字符串target=TERMSRV来确认每个RDP凭据保存的主机名、用户名和暗码。
总结
Trickbot中参加的功用也标明许多歹意软件作者增强功用的立异战略：对原有歹意软件的不断进化。这些变种一般都是不断参加新的小功用，并没有什么突破性，这也阐明Trickbot背面的安排和个人并不彻底依赖于Trickbot而且不断地进化该歹意软件，使具有要挟的歹意软件愈加高效。