自2020年以来，Trickbot恶意软件瞄准了60家知名公司的客户

臭名昭著的TrickBot恶意软件针对60家金融和技术公司的客户，包括主要位于美国的加密货币公司，尽管其运营商已经用新的反分析功能更新了僵尸网络。

Check Point的研究人员Aliaksandr Trafimchuk和Raman Ladutska在今天发布的一份报告中说：“TrickBot是一种复杂的多功能恶意软件，有20多个模块，可以按需下载和执行。”。

除了流行且持久之外，TrickBot还不断发展其策略，以超越安全和检测层。为此，恶意软件的“injectDll”web injects模块（负责窃取银行和凭证数据）利用反脱臭技术使网页崩溃，并阻止审查源代码的尝试。

还设置了反分析护栏，防止安全研究人员向指挥和控制（C2）服务器发送自动请求，以检索新的网络注入。

TrickBot的另一个关键优势是其自我传播的能力，它通过使用“tabDLL”模块窃取用户的凭据并通过SMBv1网络共享利用永恒浪漫漏洞传播恶意软件来实现这一点。

作为TrickBot感染的一部分部署的第三个关键模块是“pwgrabc”，这是一个凭证窃取程序，旨在从web浏览器和Outlook、Filezilla、WinSCP、RDP、Putty、OpenSSH、OpenVPN和TeamViewer等许多其他应用程序中窃取密码。

研究人员说：“TrickBot攻击知名度较高的受害者，窃取其凭证，并向其运营商提供访问门户网站的敏感数据，这些数据可能会造成更大的损害。”他们还补充说，“基础设施背后的运营商在高水平上也非常有恶意软件开发经验。”

这一发现的同时，TrickBot团伙被披露为其Bazar系列恶意软件使用元编程方法，以隐藏代码并防止逆向工程，最终目的是规避基于特征码的检测。