近期，My Online Security對釣魚活動的分析顯示，本周發(fā)現(xiàn)的TrickBot變體專注于讀取和獲取操作系統(tǒng)可靠性數(shù)據(jù)庫與“C:\ProgramData\Microsoft\RAC\”下的可用信息。

微軟公司在Windows操作系統(tǒng)中運行可靠性分析組件（簡稱RAC），為可靠性監(jiān)視器提供有關(guān)軟件安裝與升級、操作系統(tǒng)與應(yīng)用程序錯誤以及硬件相關(guān)問題的詳細信息。

為此，它以小時為單位運行 RACAgent 計劃任務(wù)，并將所有數(shù)據(jù)轉(zhuǎn)儲到本地文件夾。您可以在任務(wù)調(diào)度小程序中禁用對這些詳細信息的收集，但這樣您便不能再獲得可靠性監(jiān)視器的系統(tǒng)穩(wěn)定性索引。

安全研究員詹姆士（James）在推特上公布了該惡意軟件搜集的一系列文件：

據(jù)檢測發(fā)現(xiàn)，TrickBot某版本顯示出對Windows系統(tǒng)可靠性和性能信息的特殊興趣，這對銀行木馬的正常范圍來說是特殊的。

釣魚活動顯露TrickBot的新企圖。

目前尚不清楚這類數(shù)據(jù)對這些黑客有何用處，但這些數(shù)據(jù)可用于惡意行為，如幫助定位釣魚電子郵件。

通過虛假Lloyds銀行電子郵箱傳播TrickBot。

該釣魚活動通過利用地址‘donotreply@lloydsbankdocs.com’發(fā)送自稱來自Lloyds銀行的消息以傳播TrickBot，該地址與Lloyds銀行真實的電子郵箱地址相似，極易混淆。

欺詐者致力于偽造郵件信息，以誘導(dǎo)潛在受害者相信并打開包含惡意宏的附加文檔。以上行為一旦得逞，宏代碼將下載并執(zhí)行TrickBot。

cc

收藏 海報分享