I ricercatori di ESET hanno partecipato a un’operazione per contrastare la botnet Trickbot, che dal 2016 ha infettato oltre un milione di dispositivi informatici. In collaborazione con Microsoft, Lumen’s Black Lotus Labs Threat Research, NTT e altri vendor, l’operazione ha fermato Trickbot grazie all’individuazione dei server di comando e controllo. ESET ha contribuito al risultato con le analisi statistiche e tecniche sui nomi di dominio e IP dei server Command & Control. Il malware Trickbot è noto per il furto di credenziali da computer violati e più recentemente ne è stato osservato l’utilizzo come veicolo di consegna per attacchi più dannosi, di tipo ransomware.
ESET Research ha monitorato Trickbot fin dalla prima scoperta che risale alla fine del 2016. Nel solo 2020, la piattaforma di tracciamento botnet di ESET ha analizzato più di 125.000 codici dannosi e scaricato e decifrato più di 40.000 file di configurazione utilizzati dai diversi moduli Trickbot, fornendo un’efficace punto di osservazione dei diversi server C&C utilizzati da questa botnet.
Nel corso della sua esistenza questo malware è stato diffuso in diverse modalità. Recentemente, con maggiore frequenza è stata osservata una catena in cui Trickbot viene lasciato su sistemi già compromessi da Emotet, un’altra botnet. In passato il malware Trickbot veniva utilizzato per lo più come trojan bancario, per sottrarre credenziali dai conti online con l’obiettivo di eseguire trasferimenti fraudolenti di denaro.
Uno dei più vecchi plugin sviluppati per la piattaforma consente a Trickbot di utilizzare Web injects, una tecnica che permette al malware di cambiare dinamicamente ciò che l’utente di un sistema violato visualizza visitando siti web specifici.