TrickBot团伙可能会改变操作，转而使用新的恶意软件

TrickBot是臭名昭著的Windows crimeware-as-a-service（CaaS）解决方案，被各种威胁参与者用来交付勒索软件等下一阶段的有效载荷，它似乎正在经历某种形式的转变，自今年年初以来没有新的活动记录。

英特尔471的研究人员在与《黑客新闻》分享的一份报告中称，恶意软件活动的停滞“部分原因是Trickbot的运营商发生了重大转变，包括与Emotet的运营商合作”。

最后一组涉及DooBoT的攻击在2021年12月28日被注册，即使与恶意软件相关联的命令和控制（C2）基础设施继续为僵尸网络中被感染的节点提供额外的插件和网络注入。

有趣的是，随着活动量的减少，骗子团伙也与Emotet的运营商密切合作。在执法部门努力对付恶意软件后，在长达10个月的休息后，Emotet在去年年底再次出现。

这些攻击最初是在2021年11月被发现的，其特征是一种感染序列，它使用Debug BooT作为下载和执行Eytht二进制文件的管道，在拆卸之前，Emotet经常被用来删除TooBoT样本。

研究人员说：“很可能是TrickBot运营商将TrickBot恶意软件逐步退出运营，转而支持其他平台，比如Emotet。”。“毕竟，TrickBot是一种相对较旧的恶意软件，尚未进行重大更新。”

此外，英特尔471表示，在2021年11月Emotet回归后不久，DoPoBOT推动QBT安装到受损系统的实例，再次提高了幕后抖动迁移到其他平台的可能性。

随着To骗术越来越多地出现在2021执法的镜头下，它背后的威胁者正积极尝试改变战术并更新防御措施，这也许并不令人惊讶。

据Advanced Intelligence（AdvIntel）上周发布的另一份报告称，Conti勒索软件卡特尔据信已聘请了几名TrickBot的精英开发者，以淘汰恶意软件，转而使用BazarBackdoor等增强工具。

研究人员指出：“也许是对TrickBot不必要的关注，以及更新、改进的恶意软件平台的可用性，促使TrickBot的运营商放弃了它。”。“我们怀疑恶意软件控制基础设施（C2）正在维护中，因为剩余的机器人仍有一定的盈利价值。”