TrickBot 银行木马开始窃取 Windows 问题历史记录

[注：文章为电子邮件安全专家Softnext守内安编译]

据外媒 bleepingcomputer 报道，最近监测到一个版本的 TrickBot 显示出了它对一些特有数据的兴趣：Windows 系统可靠性和性能信息。

微软在 Windows 操作系统上运行可靠性分析组件（RAC），为可靠性监测提供有关软件安装、升级、操作系统和应用程序错误以及硬件相关问题的详细信息。为此，它每小时使用 RACAgent 计划任务，并将所有数据转储到本地文件夹。用户可以从任务计划进程中禁用这些详细信息的收集，但这样就不能再获得可靠性监测的系统稳定性索引。

网络钓鱼活动揭示了 TrickBot 的新兴趣

My Online Security 对网络钓鱼活动的分析显示，本周发现的 TrickBot 变体主要集中在读取和获取操作系统可靠性数据库以及C：\ ProgramData \ Microsoft \ RAC \下的可用信息。

安全研究员 詹姆斯 在 Twitter 上发布了该恶意软件搜索到的文件列表：

Exfiltrated Data

目前还不清楚这类数据会对黑客有什么好处，但它可以用于恶意目的，例如更好地定位钓鱼邮件。

TrickBot 通过虚假 Lloyds 银行电子邮件传播

网络钓鱼电子邮件

附在钓鱼邮件上的 Office Word 文档包含 Lloyds 银行的文档页头，使其看起来更加真实。此外，黑客还添加了赛门铁克徽标，让恶意文件看起来通过了安全解决方案的验证。

尽管黑客努力隐藏其恶意性质，但该文件目前至少被 VirusTotal 上的 30 个防病毒引擎检测到。

国际知名电子邮件安全专家Softnext守内安的邮件归档、邮件网关，对邮件进行加密、归档、审计管理，防病毒，层层过滤邮件威胁，降低企业被入侵风险。

Softnext守内安

微信号：Softnext