Trickbot恶意软件现在使用Masscan映射受害者的网络

Trickbot恶意软件已通过网络侦察模块升级，该模块旨在感染受害者的计算机后对本地网络进行调查。
这个名为masrv的新模块使用开源的 masscan 工具，具有自己的TCP / IP堆栈的Mass Port扫描程序，并能够在几分钟内扫描大量Internet。
Trickbot使用网络扫描仪模块来映射受害者的网络，并在任何具有开放端口的设备上发送家庭信息。
还在试水
该模块被部署为Windows DLL文件，具有32位或64位体系结构，具体取决于恶意软件感染的系统。
正如Kryptos Logic Vantage团队 的 所说：“我们观察到的两个DLL都是调试版本，并将它们的执行记录到标准输出中 在周一发布 一份报告中 。”
这暗示了该模块处于测试阶段，Trickbot帮派仍在测试水域，以查看使用网络映射是否可以帮助他们增加受感染设备的数量及其恶意软件的效率。
具有开放端口的网络设备上的所有信息都被泄露到恶意软件的命令和控制服务器中，以供恶意软件操作员确定所发现的计算机是否值得添加到僵尸网络中。

TrickBot犯罪团伙以前 发布了一个名为LightBot 独立侦察工具， 以PowerShell脚本的形式 用于发现受感染的受害者网络中的高价值目标。
Kryptos Logic研究人员补充说：“这个新模块表明，即使在最近的破坏努力之后，演员仍继续投资改进他们的网络侦察工具包。”
微软和其他安全公司在一次 破坏了Trickbot僵尸网​​络 协调一致的行动后 ，并于2020年10月关闭了Trickbot C2服务器。
即使此操作成功地使Trickbot的关键基础设施中的大约94％失效，但难以杀死的僵尸网络还是 在2021年1月 反弹了 通过一系列新的网络钓鱼电子邮件和诱饵 。
经常更新的恶意软件
Trickbot 是一种恶意软件菌株，于2016年10月作为模块化银行恶意软件浮出水面。 从那时起，它就不断使用新模块和功能进行升级。
尽管Trickbot最初仅用于收集敏感数据，但已演变成一种高度危险且流行的恶意软件删除程序，它将提供通常通常更危险的其他恶意软件有效负载。
通常，在所有有用信息（包括系统信息，凭据和任何有趣的文件）已被收集并泄露之后，通常会发生这种情况。
Trickbot对企业特别危险，因为它通过公司网络传播，并且，如果它获得对域控制器的管理员访问权限，它将 窃取Active Directory数据库 来收集更多的网络凭据。
上个月，Trickbot的开发人员添加了另一个 新模块 模块旨在检测受感染设备的UEFI漏洞 ，该 ，从而使该恶意软件对受感染机器具有最终控制权。
通过访问UEFI固件，Trickbot帮派将能够建立持久性，即使在重新安装操作系统或更换存储驱动器之后也无法删除。