TrickBot, giải pháp phần mềm tội phạm Windows dưới dạng dịch vụ (CaaS) khét tiếng được nhiều kẻ đe dọa sử dụng để cung cấp các tải trọng ở giai đoạn tiếp theo như ransomware, dường như đang trải qua quá trình chuyển đổi các loại, không có hoạt động mới nào được ghi lại kể từ khi bắt đầu của năm.
Các nhà nghiên cứu từ Intel 471 cho biết trong một báo cáo được chia sẻ với The Hacker News, sự tạm lắng trong các chiến dịch phần mềm độc hại là “một phần do sự thay đổi lớn từ các nhà điều hành của Trickbot, bao gồm cả việc hợp tác với các nhà điều hành của Emotet”.
Tập hợp các cuộc tấn công cuối cùng liên quan đến TrickBot đã được đăng ký vào ngày 28 tháng 12 năm 2021, ngay cả khi cơ sở hạ tầng lệnh và kiểm soát (C2) liên quan đến phần mềm độc hại tiếp tục phân phối các plugin bổ sung và đưa web vào các nút bị nhiễm trong mạng botnet.
Điều thú vị là sự sụt giảm số lượng của các chiến dịch cũng đi kèm với việc băng đảng TrickBot hợp tác chặt chẽ với các nhà điều hành của Emotet, nhóm này đã chứng kiến sự hồi sinh vào cuối năm ngoái sau 10 tháng tạm nghỉ sau những nỗ lực thực thi pháp luật để giải quyết phần mềm độc hại.
Các cuộc tấn công, được quan sát lần đầu tiên vào tháng 11 năm 2021, có một chuỗi lây nhiễm sử dụng TrickBot làm đường dẫn để tải xuống và thực thi các tệp nhị phân Emotet, khi trước khi gỡ xuống, Emotet thường được sử dụng để thả các mẫu TrickBot.
Các nhà nghiên cứu cho biết: “Có khả năng các nhà khai thác TrickBot đã loại bỏ phần mềm độc hại TrickBot ra khỏi hoạt động của họ để ủng hộ các nền tảng khác, chẳng hạn như Emotet,” các nhà nghiên cứu cho biết. “TrickBot, sau tất cả, là phần mềm độc hại tương đối cũ và chưa được cập nhật một cách chính thức.”
Ngoài ra, Intel 471 cho biết họ đã quan sát thấy các trường hợp TrickBot đẩy các lượt cài đặt Qbot sang các hệ thống bị xâm phạm ngay sau khi Emotet trở lại vào tháng 11 năm 2021, một lần nữa làm tăng khả năng xảy ra rung chuyển hậu trường để chuyển sang các nền tảng khác.
Với việc TrickBot ngày càng xuất hiện dưới lăng kính của cơ quan thực thi pháp luật vào năm 2021, có lẽ không quá ngạc nhiên khi kẻ đe dọa đằng sau nó đang tích cực cố gắng thay đổi chiến thuật và cập nhật các biện pháp phòng thủ của họ.
Theo một báo cáo riêng được Advanced Intelligence (AdvIntel) công bố vào tuần trước, băng đảng ransomware Conti được cho là đã thuê một số nhà phát triển ưu tú của TrickBot để loại bỏ phần mềm độc hại này bằng cách sử dụng các công cụ nâng cao như BazarBackdoor.
Các nhà nghiên cứu lưu ý: “Có lẽ sự kết hợp giữa sự chú ý không mong muốn đối với TrickBot và sự sẵn có của các nền tảng phần mềm độc hại mới hơn, được cải tiến đã thuyết phục các nhà khai thác TrickBot từ bỏ nó”. “Chúng tôi nghi ngờ rằng cơ sở hạ tầng kiểm soát phần mềm độc hại (C2) đang được duy trì vì vẫn còn một số giá trị kiếm tiền trong các bot còn lại.”
.
