新版TrickBot木马企图窃取OpenSSH与OpenVPN金钥 安全资讯

admin 9月前 125

不断进化的金融木马Trickbot,除了窃取浏览器快取中存放的登入凭证,或是系统中其它应用程式的登入凭证,再透过未加密的HTTP传送到骇客伺服器,现在开始锁定OpenSSH与OpenVPN应用发动攻击

资安业者Palo Alto Networks近日警告,恶金融木马Trickbot不断地进化,本月开始锁定OpenSSH与OpenVPN应用,企图窃取它们的金钥,幸好目前Trickbot功能尚未完善。

       2016年现身的Trickbot专门偷窃Windows上的系统资讯、登入凭证或机密资料,它是个由许多模组组成的恶意程式,其中专偷密码的模组名为pwgrab64,可取得浏览器快取中存放的登入凭证,或是系统中其它应用程式的登入凭证,再透过未加密的HTTP传送到骇客伺服器。

       在电脑被植入Trickbot后,pwgrab64即可窃取来自Chrome、Firefox、IE、 Microsoft Edge、Outlook或Filezilla的机密资讯,今年初更增添可窃取凭证以利用NC、PuTTY或RDP来登入远端伺服器的能力,现在则进一步锁定OpenSSH与OpenVPN应用。

       研究人员在今年11月发现,pwgrab64送出两个新的请求,企图取得OpenSSH的私钥与OpenVPN的密码及配置档,而且不管受骇系统上有无安装OpenSSH或OpenVPN都会送出请求。然而,当他们在实验室环境中,安装了两台配备OpenSSH与OpenVPN应用程式的Windows 7及Windows 10电脑,再植入Trickbot时,发现pwgrab64的相关请求,并未得到任何结果。

       现在的pwgrab64只能自SSH/Telnet客户端程式PuTTY取得SSH密码与私钥。


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:不安全的Elasticsearch泄露了约12亿人的敏感信息
下一篇:Catch 酒店集团披露其餐厅PoS感染恶意软件
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回