به گزارش گرداب، به گفته پژوهشگران Cyberbit، تروجان Trickbot در حال تکامل است و دارای قابلیت غیرفعالسازی ابزارهای امنیتی است. این بدافزار از تکنیکهای ضدتحلیل نیز بهره مند است. برای جلوگیری از تحلیل، این تروجان از تکنیکهای مختلف و سادهای مانند توقف فعالیت برای مدت زمان کوتاه یا طولانی و فراخوانی توابع بیاستفاده بهره میبرد. برای جلوگیری از شناسایی نیز، Trickbot سرویس Windows Defender را غیرفعال و حذف میکند.
بدافزار Trickbot از اوایل سال ۲۰۱۶ به عنوان یک تروجان مرد در مرورگر (man-in-the-browser) مطرح شد که دارای ماژولهایی برای سرقت اطلاعات از مرورگر و Outlook، قفل رایانه قربانی، جمعآوری اطلاعات شبکه و سیستم و سرقت اطلاعات احرازهویت دامنهها است. این تروجان سیستمهای قربانی را برای فعالیتهای مخرب دیگری مانند کاوش ارز دیجیتالی نیز مورد هدف قرار میدهد.
آخرین ویرایش Trickbot از طریق ایمیلهای اسپم در حال گسترش است و از اسناد Word حاوی کد ماکرو مخرب استفاده میکند. پژوهشگران Cyberbit برای اولین حملات ویرایش جدید این تروجان را در ماه گذشته و در کشورهای امریکا و اسپانیا مشاهده کردند. کد ماکرو مخرب جاسازی شده در اسناد مبهمسازی شدهاند و پس از اجرا یک اسکریپت PowerShell را اجرا میکنند که این اسکریپت Trickbot را دانلود و اجرا میکنند.
همچنین، پژوهشگران شباهتهایی را بین Trickbot و Flokibot یافتند. Flokibot تروجانی است که یک در پشتی را باز میکند، اطلاعات را به سرقت میبرد و فایلهای مخربی را در سیستم هدف بارگذاری میکند. یکی از شباهتهای بین این دو تروجان استفاده از الگوریتم CRC۳۲ در هش کردن اسم توابع است.
در ماههای گذشته Trickbot بصورت پیوسته در حال تکامل بوده است و در ماههای جولای و می گزارشهایی مبنی بر تکامل این تروجان از طرف IBM و Flashpoint منتشر شده بود.