TrickBot, la infame solución Crimeware-as-a-Service (CaaS) de Windows que es utilizada por una variedad de actores de amenazas para entregar cargas útiles de próxima etapa como ransomware, parece estar experimentando una especie de transición, sin que se registre ninguna actividad nueva desde el comienzo del año.
La pausa en las campañas de malware se debe «parcialmente a un gran cambio de los operadores de Trickbot, incluido el trabajo con los operadores de Emotet», dijeron investigadores de Intel 471 en un informe compartido con The Hacker News.
El último conjunto de ataques que involucró a TrickBot se registró el 28 de diciembre de 2021, incluso cuando la infraestructura de comando y control (C2) asociada con el malware continuó brindando complementos adicionales e inyecciones web a los nodos infectados en la red de bots.
Curiosamente, la disminución en el volumen de las campañas también estuvo acompañada por la estrecha colaboración de TrickBot con los operadores de Emotet , que experimentó un resurgimiento a fines del año pasado después de una pausa de 10 meses luego de los esfuerzos de las fuerzas del orden para abordar el malware.
Los ataques, que se observaron por primera vez en noviembre de 2021, presentaban una secuencia de infección que usaba TrickBot como conducto para descargar y ejecutar binarios de Emotet, cuando antes del desmantelamiento, Emotet se usaba a menudo para lanzar muestras de TrickBot.
«Es probable que los operadores de TrickBot hayan eliminado gradualmente el malware TrickBot de sus operaciones a favor de otras plataformas, como Emotet», dijeron los investigadores. «TrickBot, después de todo, es un malware relativamente antiguo que no se ha actualizado de manera importante».
Además, Intel 471 dijo que observó casos en los que TrickBot envió instalaciones de Qbot a los sistemas comprometidos poco después del regreso de Emotet en noviembre de 2021, lo que una vez más planteó la posibilidad de una reorganización tras bambalinas para migrar a otras plataformas.
Con TrickBot cada vez más bajo la lente de las fuerzas del orden en 2021, quizás no sea demasiado sorprendente que el actor de amenazas detrás de él esté intentando activamente cambiar de táctica y actualizar sus medidas defensivas.
Según un informe separado publicado por Advanced Intelligence (AdvIntel) la semana pasada, se cree que el cártel de ransomware Conti ha contratado a varios desarrolladores de élite de TrickBot para retirar el malware y cambiar a variantes mejoradas como BazarBackdoor .
«Quizás una combinación de atención no deseada a TrickBot y la disponibilidad de plataformas de malware más nuevas y mejoradas ha convencido a los operadores de TrickBot para que lo abandonen», señalaron los investigadores. «Sospechamos que la infraestructura de control de malware (C2) se mantiene porque todavía hay algo de valor de monetización en los bots restantes».