Os investigadores da ESET têm monitorizado as atividades da Trickbot desde a sua primeira deteção em 2016. Só em 2020, a plataforma de monitorização de botnets da ESET analisou mais de 125.000 amostras maliciosas e descarregou e desencriptou mais de 40.000 ficheiros de configuração usados pelos diferentes módulos da Trickbot, obtendo uma excelente panorâmica dos diferentes servidores C&C desta botnet.

“Ao longo dos anos em que a temos monitorizado, foram reportados dispositivos comprometidos pela Trickbot a um a um ritmo constante, tornando-a uma das maiores e mais duradouras botnets existentes. A Trickbot é uma das famílias de malware bancário mais prevalentes, e esta linha de malware representa uma ameaça para utilizadores da Internet em todo o mundo,” explica Jean-Ian Boutin, Head of Threat Research na ESET.

Durante a sua existência, este malware foi distribuído de várias maneiras diferentes. Recentemente, um comportamento que temos observado com frequência é a Trickbot ser executada em sistemas já comprometidos pela Emotet, outra grande botnet. No passado, o malware Trickbot era usado pelos seus operadores normalmente como trojan bancário, roubando credenciais de contas bancárias online e tentando efetuar transferências fraudulentas.

Um dos plugins mais antigos desenvolvidos para a plataforma permite à Trickbot usar injeções web, uma técnica que possibilita ao malware alterar dinamicamente o que o utilizador de um sistema comprometido vê ao visitar websites específicos. “Através da nossa monitorização de campanhas Trickbot, recolhemos milhares de ficheiros de configuração diferentes, o que nos permitiu saber que websites foram visados por operadores da Trickbot. A maior parte dos URLs-alvo pertencem a instituições financeiras,” acrescentou Boutin.

“Tentar desfazer esta ameaça elusiva é muito desafiante, uma vez que possui diversos mecanismos de reserva, e a sua interligação com outros atores cibercriminosos ativos na clandestinidade torna a operação global extremamente complexa.” conclui Boutin.