專門以竊取金融理財帳戶登入資料的銀行木馬病毒 TrickBot ,又被發現再進化,這次除了可攔截雙重因素驗證(2FA)編碼外,更會改動開機程序,令TrickBot可以永存系統內,一經感染,即使還原出廠設定也沒法清除!
TrickBot自2016 年被發現後,一直活躍至今,網絡罪犯透過不斷變種,令TrickBot可以繞過網絡安全工具的偵測。以往TrickBot主要偷取受感染電腦的資訊,例如用戶登入銀行帳戶的資料,而其中一款變種TrickBot的功能更進一步,可截取Android智能手機所收到的額外驗證碼,所以即使用戶啟動了2FA功能亦未能倖免。
而最近由兩間網絡安全公司發表的研究指出,透過其蜜罐(Honeypot)系統,在今年十月首次捕獲TrickBot的最新變種TrickBoot,它專門針對電腦設備或智能手機的UEFI/BIOS韌體攻擊,一旦受到感染,TrickBoot就會寄生在開機程序內,而由於UEFI/BIOS是獨立存在於底板上、負責管理開機程序的組件,並不會受到系統記憶所影響,所以即使用戶將電腦設備或手機重新安裝,也無法清除TrickBoot,它仍會在開機時被第一時間執行。
研究人員指出,TrickBoot進駐開機程序後,有能力鎖死電腦設備或智能手機令它無法啟動,而相比起一般的勒索軟件,TrickBoot會更難被清除。現時TrickBoot會先行偵測電腦設備或智能手機有否存在可被利用的韌體漏洞,而由於它具備讀寫及刪除功能,所以它的確可以執行鎖機指令。回顧過往TrickBot則先後被俄羅斯、北韓等網絡犯罪集團所利用,攻擊醫療、金融、電訊、重要基建設施及教育界,相信TrickBoot亦會以這些行業為目標。
