TrickBot, печально известное Windows-решение «crimeware-as-a-service» (CaaS), которое используется различными хакерами для доставки полезной нагрузки второго этапа атаки – например, шифровальщиков- похоже, переживает своего рода переходный период: с начала года не было зарегистрировано новых кампаний.
Затишье в атаках вредоносного ПО «частично объясняется тем, что операторы Trickbot сменили направление деятельности, включая работу с операторами Emotet» - заявили исследователи из Intel 471 в отчете, предоставленном изданию The Hacker News.
Последний набор атак с участием TrickBot был зарегистрирован 28 декабря 2021 года, несмотря на то, что командно-контрольная инфраструктура, связанная с вредоносной программой, продолжала поставлять дополнительные плагины и веб-инъекции на зараженные узлы ботнета.
Интересно, что снижение объема кампаний также сопровождается тесным сотрудничеством банды TrickBot с операторами Emotet, которая в конце прошлого года вновь активизировалась после 10-месячного перерыва, вызванного усилиями правоохранительных органов по борьбе с этим вредоносным ПО.
Атаки, которые впервые были замечены в ноябре 2021 года, отличались последовательностью заражения, которая использовала TrickBot в качестве канала для загрузки и выполнения двоичных файлов Emotet, в то время как до уничтожения Emotet часто использовался для распространения образцов TrickBot.
«Вполне вероятно, что операторы TrickBot постепенно исключили вредоносное ПО TrickBot из своих операций в пользу других платформ, таких как Emotet» - заявляют исследователи. «В конце концов, TrickBot - это относительно старый вредонос, который давно не подвергался серьезным обновлениям».
Кроме того, исследователи Intel 471 сообщили, что наблюдали случаи, когда TrickBot проталкивал установки Qbot на взломанные системы вскоре после возвращения Emotet в ноябре 2021 года, что еще раз наводит на мысль о возможности закулисной перетряски для перехода на другие платформы.
Поскольку в 2021 году TrickBot все чаще попадал в поле зрения правоохранительных органов, возможно, не слишком удивительно, что создатели вредоноса активно пытаются изменить тактику и обновить самозащитные меры.
Согласно еще одному отчету, опубликованному Advanced Intelligence (AdvIntel) на прошлой неделе, картель Conti предположительно нанял несколько элитных разработчиков TrickBot в целях отказа от своего текущего инструментария в пользу усовершенствованных инструментов, таких как BazarBackdoor.
«Возможно, сочетание нежелательного внимания к TrickBot и доступность новых, более совершенных платформ для распространения вредоносного ПО убедили операторов TrickBot отказаться от него» - отмечают исследователи. «Мы подозреваем, что инфраструктура управления вредоносным ПО поддерживается, поскольку оставшиеся боты все еще имеют определенную потенциальную финансовую ценность».
Источник: https://thehackernews.com
