Trickbot Trojan现在有一个单独的Cookie窃取模块
2019-07-04 10:22:58 【

威胁研究人员周二发现,Trickbot木马现在附带了一个用于窃取浏览器cookie的独立模块,标志着恶意软件开发的新进展。


2016年10月报道,Trickbot最初是一种银行木马,但不断更新使其成为一种多用途威胁,可以窃取应用程序中的敏感信息,发送垃圾邮件,以及在受感染的计算机上传送其他类型的恶意软件。


这个新模块被称为Cookie Grabber,它的目的只是为了窃取cookie  - 网站保存在浏览器中用于各种目的的文本,例如记住登录状态,网站偏好,个性化内容; 或用于跟踪用户的浏览活动。




Duncan发布了一篇简短的帖子,其中详细介绍了Trickbot最新模块生成的流量以及与其相关的工件,如在受感染的Windows主机上找到的。 以及在具有浏览器窃取模块的受感染Windows主机上找到的工件。


研究员Vitali Kremez也看到了Trickbot的新Cookie Grabber模块,并确认它可以作为恶意软件的独立附件。


“事实上,这是新的#TrickBot”#CookieGrabber“浏览器模块(带有本地数据库解析器)与通常的导出ord(Start,Control,Release,FreeBuffer)和dpost配置一起发布,”Kremez回复了Duncan关于Cookie Grabber的推文。




Kremez发现新模块的构建日期是6月27日,它针对所有主要Web浏览器的cookie存储数据库:Chrome,Firefox,Internet Explorer,Microsoft Edge。


cookie抓取器模块版本的构建日期是6月27日的“|” Cookie详细信息格式化主要浏览器的dpost发件人。pic.twitter.com/ZkLJ0DUzD4


-  Vitali Kremez(@VK_Intel),2019年7月2日

研究人员告诉BleepingComputer,Trickbot在另一个组件中捆绑了cookie窃取功能,但现在这是完全独立的,并附带自己的配置文件。


这意味着一旦交付给受害者主机,恶意软件操作员就可以独立于其他信息窃取功能来控制它。




Kremez认为,恶意软件作者意识到cookie抓取器在其他模块中并非绝对必要。 通过收集关于主机的这种类型的信息,操作员可以更好地分析受害者并定制攻击的后续步骤。


“我认为他们将每个功能分离成单独的模块化组件,”研究人员告诉我们。


这将提供对每个功能的更好控制,并使恶意软件更精简。 它还可以根据每个活动的目的灵活调整恶意软件功能。



】【打印关闭】 【返回顶部
上一篇绕过防火墙过滤规则传输ICMP 下一篇新的Godlua恶意软件通过HTTPS通过..