威胁研究人员周二发现，Trickbot木马现在附带了一个用于窃取浏览器cookie的独立模块，标志着恶意软件开发的新进展。

2016年10月报道，Trickbot最初是一种银行木马，但不断更新使其成为一种多用途威胁，可以窃取应用程序中的敏感信息，发送垃圾邮件，以及在受感染的计算机上传送其他类型的恶意软件。

这个新模块被称为Cookie Grabber，它的目的只是为了窃取cookie  - 网站保存在浏览器中用于各种目的的文本，例如记住登录状态，网站偏好，个性化内容; 或用于跟踪用户的浏览活动。

Duncan发布了一篇简短的帖子，其中详细介绍了Trickbot最新模块生成的流量以及与其相关的工件，如在受感染的Windows主机上找到的。 以及在具有浏览器窃取模块的受感染Windows主机上找到的工件。

研究员Vitali Kremez也看到了Trickbot的新Cookie Grabber模块，并确认它可以作为恶意软件的独立附件。

“事实上，这是新的#TrickBot”#CookieGrabber“浏览器模块（带有本地数据库解析器）与通常的导出ord（Start，Control，Release，FreeBuffer）和dpost配置一起发布，”Kremez回复了Duncan关于Cookie Grabber的推文。

Kremez发现新模块的构建日期是6月27日，它针对所有主要Web浏览器的cookie存储数据库：Chrome，Firefox，Internet Explorer，Microsoft Edge。

cookie抓取器模块版本的构建日期是6月27日的“|” Cookie详细信息格式化主要浏览器的dpost发件人。pic.twitter.com/ZkLJ0DUzD4

-  Vitali Kremez（@VK_Intel），2019年7月2日

研究人员告诉BleepingComputer，Trickbot在另一个组件中捆绑了cookie窃取功能，但现在这是完全独立的，并附带自己的配置文件。

这意味着一旦交付给受害者主机，恶意软件操作员就可以独立于其他信息窃取功能来控制它。

Kremez认为，恶意软件作者意识到cookie抓取器在其他模块中并非绝对必要。 通过收集关于主机的这种类型的信息，操作员可以更好地分析受害者并定制攻击的后续步骤。

“我认为他们将每个功能分离成单独的模块化组件，”研究人员告诉我们。

这将提供对每个功能的更好控制，并使恶意软件更精简。 它还可以根据每个活动的目的灵活调整恶意软件功能。