Trickbot恶意软件带着一个新的VNC模块返回，以监视其受害者

网络安全研究人员已经揭开了阴险网络继续死灰复燃的盖子Trickbot恶意软件，明确表示总部位于俄罗斯的跨国网络犯罪组织正在幕后工作，以改进其攻击基础设施，以应对执法部门最近的打击行动。

Bitdefender在周一发布的一份技术报告中说：“发现的新功能用于监控和收集受害者的情报，使用自定义通信协议隐藏[指挥和控制]服务器与受害者之间的数据传输，使攻击难以识别。”，这表明该组织的战术更加复杂。

“Trickbot没有放缓的迹象，”研究人员指出。

僵尸网络是在成百上千的被黑客入侵的设备被纳入由犯罪运营商运营的网络时形成的，然后这些设备常常被用来发起拒绝网络攻击，用虚假流量打击企业和关键基础设施，目的是让它们离线。但通过控制这些设备，恶意参与者也可以使用僵尸网络传播恶意软件和垃圾邮件，或在受感染的计算机上部署文件加密勒索软件。

Trickbot也不例外。该行动背后臭名昭著的网络犯罪团伙—；被称为巫师蜘蛛—；有利用受感染机器窃取敏感信息、横向转移网络、甚至成为其他恶意软件（如勒索软件）的加载程序的记录，同时通过添加具有新功能的模块来提高其效率，从而不断改进感染链。

Lumen的Black Lotus Labs去年10月透露，“TrickBot已经演变为使用一个复杂的基础设施，它会破坏第三方服务器，并使用它们来托管恶意软件。”。“它还感染DSL路由器等消费类设备，其犯罪运营商不断轮换其IP地址和受感染的主机，以尽可能避免破坏其犯罪行为。”

此后，该僵尸网络经受住了微软和美国赛博司令部的两次拆除尝试，运营商开发了固件干预组件，允许黑客在统一可扩展固件接口（UEFI）中植入后门，使其能够逃避防病毒检测、软件更新，甚至彻底清除并重新安装计算机的操作系统。

据Bitdefender称，现在发现该威胁行为人正在积极开发一个名为“vncDll”的模块的更新版本，该模块用于监视和情报收集的选定高知名度目标。新版本被命名为“tvncDll”

新模块设计用于与其配置文件中定义的九个指挥和控制（C2）服务器之一通信，使用它检索一组攻击命令，下载更多恶意软件有效载荷，并将从机器收集的数据过滤回服务器。此外，研究人员表示，他们发现了一个“查看器工具”，攻击者利用该工具通过C2服务器与受害者进行交互。

还不止这些。Cofense本周发布的另一份报告发现了新的证据，表明僵尸网络以零售、建材、制造、保险和建筑行业的公司为目标，通过包含以发票为主题的Word文档的钓鱼电子邮件，触发“窃取凭证的微调工作流程”

虽然镇压该团伙行动的努力可能并不完全成功，但微软告诉《每日野兽报》，它与互联网服务提供商（ISP）合作，在巴西和拉丁美洲挨家挨户更换被Trickbot恶意软件破坏的路由器，它有效地切断了阿富汗的Trickbot基础设施。