Szintet lépett a Trickbot vírus, jelentették be a Palo Alto Networks biztonsági kutatói. A pályafutását bankoló trójaiként kezdő digitális kártevő több lépcsős fejlesztés nyomán mára átfogó tudású adattolvajjá vált, továbbá hátsó ajtót nyit a bűnözők számára, amelyen keresztül a hálózat más rendszereit is hatalmukba keríthetik.
A Trickbot emellett botnetként saját terjesztésében is részt vesz olyan emailek szétküldésével, amelyek csatolmánya megnyitáskor végrehajtódik a megtámadott gépen, és a vírus az EternalBlue sebezhetőséget kihasználva továbbterjed a hálózatban.
A Trickbot moduláris felépítésű, ennek következtében alkotói könnyedén tudják cserélgetni funkcióit. A kutatók szerint most az történt, hogy az Mworm modult, ami a Trickbot terjesztését segítette, egy Nworm nevű új modulra cserélték.
Ez annyival tud többet elődjénél, hogy ha a Trickbot megfertőz egy domain vezérlőt, immár a memóriából fut. Így semmilyen nyomot nem hagy maga után a megfertőzött gépen, és detektálása is megnehezül.
Ráadásul az Nworm által továbbított bináris üzenet titkosított, ami szintén segíti a tevékenység elrejtését.
Ez a TrickBot legfrissebb változása; ezt megelőzően márciusban a kártevő egy olyan képességgel bővült, amely a megtámadott célpontok (távközlési és pénzügyi szolgáltatók, egyetemek) elleni kiberkémkedésre készült.
A kutatók védekezésként a biztonsági termékek rendszeres frissítését ajánlják, hiszen a Windows EternalBlue sebezhetőségét, amit a vírus kihasznál, már három éve befoltozták.
