TrickBot银行木马是一款专门针对各国银行进行攻击的恶意样本，它之前被用于攻击全球多个国家的金融机构，主要通过钓鱼邮件的方式进行传播，前不久还发现有黑产团伙利用它来传播Ryuk勒索病毒，最近MalwareHunterTeam的安全专家发现一个虚拟的Office 365网站，被用于传播TrickBot银行木马，相关的信息，如下所示：

(图片来源于bleepingcomputer网站)

然后通过这个网站给受害者分发伪装成Chrome和Firefox浏览器更新的TrickBot银行木马程序，如下所示：

(图片来源于bleepingcomputer网站)

受害者下载的更新程序其实就是TrickBot银行木马，查看app.any.run网站关联的下载链接，如下所示：

网站更新程序下载链接URL：

hxxps://get-office365.live/files/upd365_58v01.exe

TrickBot银行木马核心功能剖析

关闭Windows安全保护功能的开源代码，github地址：6a2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6z5h3f1q4z5i4K6u0V1P5q4)9J5k6p5y4m8g2q4)9J5c8V1c8A6M7$3q4T1L8r3g2Q4x3X3c8i4K9h3&6V1L8%4N6K6i4K6u0V1c8r3g2X3k6h3&6V1k6i4t1`.有兴趣的可以研究一下

4.跟之前TrickBot银行木马一样，启动多个svchost进程，然后将相应的模块注入到svchost进程,如下所示：

5.TrickBot银行木马下载的模块如下所示：

各个模块的功能：

importDll32：窃取浏览器表单数据、cookie、历史记录等信息

injectDll32：注入浏览器进程，窃取银行网站登录凭据

mailsearcher32：收集邮箱信息

networkDll32：收集主机系统和网络/域拓扑信息

psfin32：对攻击目标进行信息收集，判断攻击目的

pwgrab32：窃取Chrome/IE密码信息

shareDll32：下载TrickBot，通过共享传播

systeminfo32：收集主机基本信息

tabDll32：利用IPC$共享和SMB漏洞，结合shareDll32和wormDll32进行传播感染

wormDll32：下载TrickBot进行横向传播

6.TrickBot银行木马为了免杀，从远程服务器上下载回来的模块都是加密后的数据，银行木马会将这些数据解密，然后注入到svchost进程中，通过本地解密脚本，解密出这款银行木马下载的各个核心模块，如下所示：

与之前分析的TrickBot银行木马配置文件解密出来的格式基本一致，服务器地址发生了改变

相关的IP地址信息：

4a3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5%4x3q4)9J5k6e0t1K6z5q4)9J5k6e0p5I4y4#2)9J5k6e0p5^5y4#2)9K6b7e0R3H3z5o6t1`.

fc4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5^5y4W2)9J5k6e0p5H3i4K6u0W2x3U0b7K6i4K6u0W2y4K6m8Q4x3@1p5^5x3o6R3J5

5b1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3q4)9J5k6e0p5I4z5g2)9J5k6e0p5^5x3q4)9J5k6e0t1J5y4W2)9K6b7e0R3H3z5o6t1`.

999K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5K6x3g2)9J5k6e0p5$3x3g2)9J5k6e0p5H3y4g2)9J5k6e0t1H3y4W2)9K6b7e0R3H3z5o6t1`.

3d2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5^5x3g2)9J5k6e0p5J5z5g2)9J5k6e0p5$3x3q4)9J5k6e0p5H3i4K6y4m8z5o6l9^5x3R3`.`.

5b1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3g2)9J5k6e0x3%4i4K6u0W2x3e0k6Q4x3X3f1%4y4#2)9K6b7e0R3H3

dd7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5H3x3#2)9J5k6e0p5&6y4q4)9J5k6e0V1H3i4K6u0W2x3U0b7J5i4K6y4m8z5o6l9`.

f9cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5H3x3#2)9J5k6e0R3%4i4K6u0W2y4o6S2Q4x3X3f1#2y4q4)9K6b7e0R3H3

172K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3q4)9J5k6e0p5#2x3W2)9J5k6e0p5J5y4g2)9J5k6e0p5$3x3W2)9K6b7e0R3H3

27fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5H3x3#2)9J5k6e0R3@1i4K6u0W2x3U0x3^5i4K6u0W2x3#2)9K6b7e0R3H3

161K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0V1&6i4K6u0W2x3U0f1#2i4K6u0W2x3K6u0Q4x3@1p5@1y4o6x3`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课