近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時發現一 種名為 Trickbot 的銀行木馬變種開始活躍。 在 2018 年 11 月，Trickbot 曾 出 現 過 一 個 帶有密碼管理器模塊的變種，可以獲取多 個應用程序和瀏覽器的訪問權限。在 2019 年 1 月，一個新版本的 Trickbot 變種出現 了，它擁有更強大的密碼及證書抓取功能。

     該 Trickbot 木馬通過一封偽造的稅收 通知郵件進行傳播，郵件中包含一個啟用 宏的 Excel 附件，一旦用戶打開該文件， 惡意宏就會下載并運行 Trickbot 木馬。這 次的木馬變種與 2018 年 11 月的版本比較 相似，不同之處是它針對 Virtual Network Computing (VNC), PuTTY, Remote Desktop Protocol (RDP) 這 三 個 平 臺 增 加 了 新 功能。通過抓取它們的證書，攻擊者將可 以遠程登錄并控制受害者的計算機。為 了抓取 VNC 的憑證信息，密碼管理模塊 在 "%APPDATA%\Microsoft\Windows\ Recent", "%USERPROFILE%\Documents", "%USERPROFILE%\Downloads" 目 錄 下 搜 索 "*.vnc.lnk" 后 綴 的 文 件， 從 中 讀 取目標機器的主機名、端口、代理設置 等 信 息， 隨 后 訪 問 注 冊 表 項 "Software\ SimonTatham\Putty\Sessions"， 檢 索 可用于登錄的 PuTTY 證書，最后使用 CredEnumerateA 這 個 API 函 數 獲 取 RDP 的憑證信息。最終，模塊會從名為 "dpost" 的配置文件中讀取一個 C&C 服務器列表， 將竊取到的信息通過 HTTP POST 請求發 向這些服務器。

     安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。