WannaCry激發銀行特洛伊木馬增加自我傳播能力

WannaCry和佩蒂婭勒索軟件現在，黑客和網絡犯罪分子已經從全球疫情中吸取教訓，使他們的惡意軟件更加強大。

安全研究人員現已發現至少一組網絡犯罪分子，他們試圖賦予其銀行特洛伊木馬類似蠕蟲的自我傳播能力，從而使最近的勒索軟件攻擊遍布全球。

新版本的憑證竊取TrickBot銀行特洛伊木馬，稱為“1000029" (v24)已使用Windows Server消息塊（SMB）；這使瓦納克里和佩蒂亞得以迅速在世界各地傳播。

TrickBot是一種銀行特洛伊木馬惡意軟件，自去年以來一直以世界各地的金融機構為目標。

特洛伊木馬通常通過電子郵件附件傳播，模擬來自一家大型匿名“國際金融機構”的發票，但實際上會將受害者帶到一個用于竊取憑據的假登錄頁面。

上周，Flashpoint的研究人員一直在追蹤TrickBot的活動及其目標，他們發現TrickBot特洛伊木馬剛剛進化為通過服務器消息塊（SMB）在網絡上本地傳播。

由于TrickBot的新版本仍在測試中，特洛伊木馬背后的黑客團伙尚未完全實現這些新功能。它也無法隨機掃描外部IP以查找SMB連接，不像WannaCry利用了一個名為永恒藍.

Flashpoint研究人員表示，該特洛伊木馬經過修改，可以通過NetServerEnum Windows API掃描域中易受攻擊的服務器列表，并通過輕量級目錄訪問協議（LDAP）枚舉網絡上的其他計算機。

新的TrickBot變體也可以偽裝成“設置”。通過PowerShell腳本傳遞，通過進程間通信傳播，并將TrickBot的附加版本下載到共享驅動器上。

根據研究人員的說法，最新發現的新TrickBot變種讓我們能夠深入了解惡意軟件背后的操作人員在不久的將來可能會使用什么。

Flashpoint的研究主管維塔利·克雷梅茲（Vitali Kremez）說：“Flashpoint以適度的信心評估了Trickbot團伙在短期內可能會繼續成為一股強大的力量。”。

“盡管蠕蟲模塊在目前的狀態下看起來相當粗糙，但很明顯，Trickbot團伙從WannaCry和‘NotPetya’的全球勒索軟件蠕蟲般的爆發中吸取了教訓，并試圖復制他們的方法。”

為了防止此類惡意軟件感染，您應該始終對通過電子郵件發送的不需要的文件和文檔持懷疑態度，除非驗證其來源，否則絕不應點擊其中的鏈接。

要始終牢牢掌握有價值的數據，請保持良好的備份例行程序，將它們復制到不總是連接到PC的外部存儲設備。

此外，確保在系統上運行有效的防病毒安全套件，并使其保持最新。