Photo by Brian on https://www.flickr.com/photos/ncreedplayer/7269149362/ (CC BY-NC-SA 2.0)

資安業者Palo Alto Networks上周警告,惡名昭彰的金融木馬Trickbot不斷地進化,本月開始鎖定OpenSSH與OpenVPN應用,企圖竊取它們的金鑰,幸好目前Trickbot功能尚未完善。

2016年現身的Trickbot專門偷竊被駭Windows上的系統資訊、登入憑證或機密資料,它是個由許多模組組成的惡意程式,其中專偷密碼的模組名為pwgrab64,可取得瀏覽器快取中存放的登入憑證,或是系統中其它應用程式的登入憑證,再透過未加密的HTTP傳送到駭客伺服器。

在電腦被植入Trickbot後,pwgrab64即可竊取來自Chrome、Firefox、IE、 Microsoft Edge、Outlook或Filezilla的機密資訊,今年初更增添可竊取憑證以利用NC、PuTTY或RDP來登入遠端伺服器的能力,現在則進一步鎖定OpenSSH與OpenVPN應用。

研究人員在今年11月發現,pwgrab64送出兩個新的請求,企圖取得OpenSSH的私鑰與OpenVPN的密碼及配置檔,而且不管受駭系統上有無安裝OpenSSH或OpenVPN都會送出請求。然而,當他們在實驗室環境中,安裝了兩台配備OpenSSH與OpenVPN應用程式的Windows 7及Windows 10電腦,再植入Trickbot時,發現pwgrab64的相關請求,並未得到任何結果。

現在的pwgrab64只能自SSH/Telnet客戶端程式PuTTY取得SSH密碼與私鑰。


Advertisement

更多 iThome相關內容