Os operadores de crimes cibernéticos por trás do notório malware TrickBot mais uma vez aumentaram a aposta ajustando suas técnicas, adicionando várias camadas de defesa para escapar dos produtos antimalware.

O TrickBot, que começou como um trojan bancário, evoluiu para um crimeware-as-a-service (CaaS) multifuncional que é empregado por uma variedade de atores para fornecer cargas adicionais, como ransomware.

Mais de 100 variações do TrickBot foram identificadas até o momento, uma das quais é um módulo que pode modificar o firmware UEFI de um dispositivo comprometido. O TrickBot provou ser imune a tentativas de remoção, com os criminosos ajustando rapidamente suas técnicas para propagar malware em vários estágios por meio de ataques de phishing e malspam, sem mencionar expandir seus canais de distribuição em parceria com outros afiliados para aumentar a escala e gerar lucros.

Para facilitar a busca da injeção certa no momento certo, o malware TrickBot usa um downloader ou um carregador JavaScript (JS) para se comunicar com seu servidor de injeção. Outras linhas de defesa adotaram a versão mais recente do TrickBot que mostra o uso de comunicações HTTPS criptografadas com o servidor de comando e controle (C2) para buscar injeções.