新版TrickBot木马企图窃取OpenSSH与OpenVPN金钥

admin 2021年12月3日13:53:25cnnvd_news评论12 次浏览阅读模式

       不断进化的金融木马Trickbot,除了窃取浏览器快取中存放的登入凭证,或是系统中其它应用程式的登入凭证,再透过未加密的HTTP传送到骇客伺服器,现在开始锁定OpenSSH与OpenVPN应用发动攻击

资安业者Palo Alto Networks近日警告,恶金融木马Trickbot不断地进化,本月开始锁定OpenSSH与OpenVPN应用,企图窃取它们的金钥,幸好目前Trickbot功能尚未完善。

       2016年现身的Trickbot专门偷窃Windows上的系统资讯、登入凭证或机密资料,它是个由许多模组组成的恶意程式,其中专偷密码的模组名为pwgrab64,可取得浏览器快取中存放的登入凭证,或是系统中其它应用程式的登入凭证,再透过未加密的HTTP传送到骇客伺服器。

       在电脑被植入Trickbot后,pwgrab64即可窃取来自Chrome、Firefox、IE、 Microsoft Edge、Outlook或Filezilla的机密资讯,今年初更增添可窃取凭证以利用NC、PuTTY或RDP来登入远端伺服器的能力,现在则进一步锁定OpenSSH与OpenVPN应用。

       研究人员在今年11月发现,pwgrab64送出两个新的请求,企图取得OpenSSH的私钥与OpenVPN的密码及配置档,而且不管受骇系统上有无安装OpenSSH或OpenVPN都会送出请求。然而,当他们在实验室环境中,安装了两台配备OpenSSH与OpenVPN应用程式的Windows 7及Windows 10电脑,再植入Trickbot时,发现pwgrab64的相关请求,并未得到任何结果。

       现在的pwgrab64只能自SSH/Telnet客户端程式PuTTY取得SSH密码与私钥。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:53:25
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/776.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: