Trickbot扩展恶意软件分销渠道背后的攻击者

恶意TrickBot软件背后的运营商重新出现了新的伎俩，旨在通过扩大分销渠道来扩大其立足点，最终导致部署Conti等勒索软件

根据IBM X-Force的一份报告，以ITG23和Wizard Spider为名追踪的威胁行为已被发现与其他网络犯罪团伙Hive0105、Hive0106（又名TA551或Shathak）和Hive0107合作，增加了攻击者寄望于交付专有恶意软件的活动的数量

“这些和其他网络犯罪供应商通过劫持电子邮件线程，使用虚假的客户回复表，并使用名为BazarCall的虚假呼叫中心的社会工程员工，用恶意软件感染公司网络，”研究人员Ole Villadsen和Charlotte Hammond说

自从2016年出现在威胁领域以来，TrickBot已经从一个银行特洛伊木马演变为一个基于Windows的模块化犯罪软件解决方案，同时也以其弹性突出，展示了维护和更新其工具集和基础设施的能力，尽管执法部门和行业团体多次努力将其取缔。除了TrickBot，Wizard Spider group还开发了BazarLoader和一个名为Anchor的后门。

虽然今年早些时候发起的攻击依靠发送Excel文档的电子邮件活动和一个名为“BazaCall”的呼叫中心诡计向企业用户发送恶意软件，最近的入侵始于2021年6月左右，其标志是与两个网络犯罪分支机构合作，通过在组织网站上利用被劫持的电子邮件线索和欺诈网站客户查询形式来增强钴的配送基础设施来部署钴打击有效载荷。

“这一举措不仅增加了运送尝试的数量，而且使运送方式多样化，目的是比以往任何时候都感染更多的潜在受害者，”研究人员说