近期,My Online Security对钓鱼活动的分析显示,本周发现的TrickBot变体专注于读取和获取操作系统可靠性数据库与“C:\ProgramData\Microsoft\RAC\”下的可用信息。

微软公司在Windows操作系统中运行可靠性分析组件(简称RAC),为可靠性监视器提供有关软件安装与升级、操作系统与应用程序错误以及硬件相关问题的详细信息。

为此,它以小时为单位运行 RACAgent 计划任务,并将所有数据转储到本地文件夹。您可以在任务调度小程序中禁用对这些详细信息的收集,但这样您便不能再获得可靠性监视器的系统稳定性索引

安全研究员詹姆士(James)在推特上公布了该恶意软件搜集的一系列文件:

盗取数据

据检测发现,TrickBot某版本显示出对Windows系统可靠性和性能信息的特殊兴趣,这对银行木马的正常范围来说是特殊的。

钓鱼活动显露TrickBot的新企图。

目前尚不清楚这类数据对这些黑客有何用处,但这些数据可用于恶意行为,如帮助定位钓鱼电子邮件

通过虚假Lloyds银行电子邮箱传播TrickBot。

该钓鱼活动通过利用地址‘donotreply@lloydsbankdocs.com’发送自称来自Lloyds银行的消息以传播TrickBot,该地址与Lloyds银行真实的电子邮箱地址相似,极易混淆。

欺诈者致力于伪造邮件信息,以诱导潜在受害者相信并打开包含恶意宏的附加文档。以上行为一旦得逞,宏代码将下载并执行TrickBot