WannaCry激发银行特洛伊木马增加自我传播能力

WannaCry和佩蒂娅勒索软件现在，黑客和网络犯罪分子已经从全球疫情中吸取教训，使他们的恶意软件更加强大。

安全研究人员现已发现至少一组网络犯罪分子，他们试图赋予其银行特洛伊木马类似蠕虫的自我传播能力，从而使最近的勒索软件攻击遍布全球。

新版本的凭证窃取TrickBot银行特洛伊木马，称为“1000029" (v24)已使用Windows Server消息块（SMB）；这使瓦纳克里和佩蒂亚得以迅速在世界各地传播。

TrickBot是一种银行特洛伊木马恶意软件，自去年以来一直以世界各地的金融机构为目标。

特洛伊木马通常通过电子邮件附件传播，模拟来自一家大型匿名“国际金融机构”的发票，但实际上会将受害者带到一个用于窃取凭据的假登录页面。

上周，Flashpoint的研究人员一直在追踪TrickBot的活动及其目标，他们发现TrickBot特洛伊木马刚刚进化为通过服务器消息块（SMB）在网络上本地传播。

由于TrickBot的新版本仍在测试中，特洛伊木马背后的黑客团伙尚未完全实现这些新功能。它也无法随机扫描外部IP以查找SMB连接，不像WannaCry利用了一个名为永恒蓝.

Flashpoint研究人员表示，该特洛伊木马经过修改，可以通过NetServerEnum Windows API扫描域中易受攻击的服务器列表，并通过轻量级目录访问协议（LDAP）枚举网络上的其他计算机。

新的TrickBot变体也可以伪装成“设置”。通过PowerShell脚本传递，通过进程间通信传播，并将TrickBot的附加版本下载到共享驱动器上。

根据研究人员的说法，最新发现的新TrickBot变种让我们能够深入了解恶意软件背后的操作人员在不久的将来可能会使用什么。

Flashpoint的研究主管维塔利·克雷梅兹（Vitali Kremez）说：“Flashpoint以适度的信心评估了Trickbot团伙在短期内可能会继续成为一股强大的力量。”。

“尽管蠕虫模块在目前的状态下看起来相当粗糙，但很明显，Trickbot团伙从WannaCry和‘NotPetya’的全球勒索软件蠕虫般的爆发中吸取了教训，并试图复制他们的方法。”

为了防止此类恶意软件感染，您应该始终对通过电子邮件发送的不需要的文件和文档持怀疑态度，除非验证其来源，否则绝不应点击其中的链接。

要始终牢牢掌握有价值的数据，请保持良好的备份例行程序，将它们复制到不总是连接到PC的外部存储设备。

此外，确保在系统上运行有效的防病毒安全套件，并使其保持最新。