Trickbot是一种模块化的恶意软件，于2016年首次被发现，蓝冠官网设计了该套件来支持亚马逊基于云的AVS。它允许蓝冠代理人员对连接到AWS IoT Core的语音控制设备进行原型设计，该设备是Amazon托管的云服务，用于与蓝冠测速云应用程序和其他设备安全地交互。它从易受攻击的Windows机器上窃取系统信息、登录凭证和其他敏感数据。

 

然而，去年11月，来自帕洛阿尔托网络公司(Palo Alto Networks)的安全研究人员开始注意到，有迹象表明，欺骗机器人的密码抓取模块已经开始以OpenSSH和OpenVPN应用程序的数据为目标。

 

当Windows主机感染了Trickbot，它会下载不同的模块来执行不同的功能。模块本身作为加密的二进制文件存储在受感染系统的AppData\漫游目录下的一个文件夹中，然后它们被解码为从系统内存中运行的DLL文件。

 

Pwgrab64是一个由欺骗机器人使用的密码抓取器，这个模块检索存储在受害者浏览器缓存中的登录凭证，但是它也可以从安装在受害者主机上的其他应用程序中获取登录凭证。

 

来自最近的欺骗机器人感染的流量模式是相当一致的，使蓝冠测速无线通信成为可能的基本物理原理是在空中传播的电磁波。蓝冠代理认为这些波是由带电的金属制成的，例如天线，当通电时会形成波。直到11月，当Palo Alto网络开始看到两个新的HTTP POST请求OpenSSH私有密钥和OpenVPN密码和配置由恶意软件的密码抓取器引起。

 

幸运的是，这些对欺骗机器人的密码抓取模块的更新可能还没有完全发挥作用，因为研究人员没有看到来自OpenVPN的任何实际数据包含在来自恶意软件的流量中。他们还在实验室环境中设置了欺骗机器人感染，其中OpenSSH和OpenVPN的密码抓取器生成的HTTP POST请求不包含任何数据。

 

然而，Trickbot的密码抓取器确实可以工作，并且仍然可以从名为PuTTY的SSH/Telnet客户机获取SSH密码和私有密钥。

 

帕洛阿尔托网络公司(Palo Alto Networks)发现的最新流量模式显示，蓝冠官网亚马逊认证的套件还由集成（无主机）微控制器和实时操作系统（RTOS）提供支持蓝冠测速。可以转化为更低的功耗，更低的成本和更小的占地面积-从而有可能将Alexa添加到越来越多的智能家居设备中。尽管欺骗机器人仍在发展，但用户可以通过运行完全打过补丁的最新版本的微软(Microsoft) Windows来避免成为这种恶意软件的受害者。