TrickBot, la infame solución Crimeware-as-a-Service (CaaS) de Windows que es utilizada por una variedad de actores de amenazas para entregar cargas útiles de próxima etapa como ransomware, parece estar experimentando una especie de transición, sin que se registre ninguna actividad nueva desde el comienzo del año.
La pausa en las campañas de malware se debe «parcialmente a un gran cambio de los operadores de Trickbot, incluido el trabajo con los operadores de Emotet», investigadores de Intel 471 dijo en un informe compartido con The Hacker News.
El último conjunto de ataques que involucró a TrickBot se registró el 28 de diciembre de 2021, incluso cuando la infraestructura de comando y control (C2) asociada con el malware continuó brindando complementos adicionales e inyecciones web a los nodos infectados en la red de bots.
Curiosamente, la disminución en el volumen de las campañas también estuvo acompañada por la estrecha colaboración de TrickBot con los operadores de Emotet, que experimentó un resurgimiento a fines del año pasado después de una pausa de 10 meses luego de los esfuerzos de las fuerzas del orden público para abordar el malware.
Los ataques, que se observaron por primera vez en noviembre de 2021, presentaban una secuencia de infección que usaba TrickBot como conducto para descargar y ejecutar binarios de Emotet, cuando antes del desmantelamiento, Emotet se usaba a menudo para lanzar muestras de TrickBot.
«Es probable que los operadores de TrickBot hayan eliminado gradualmente el malware TrickBot de sus operaciones a favor de otras plataformas, como Emotet», dijeron los investigadores. «TrickBot, después de todo, es un malware relativamente antiguo que no se ha actualizado de manera importante».
Además, Intel 471 dijo que observó casos en los que TrickBot envió instalaciones de Qbot a los sistemas comprometidos poco después del regreso de Emotet en noviembre de 2021, lo que una vez más planteó la posibilidad de una reorganización detrás de escena para migrar a otras plataformas.
Con TrickBot cada vez más bajo la lente de cumplimiento de la ley en 2021, tal vez no sea demasiado sorprendente que el actor de amenazas detrás de esto esté intentando activamente cambiar de táctica y actualizar sus medidas defensivas.
De acuerdo a un informe separado publicado por Advanced Intelligence (AdvIntel) la semana pasada, se cree que el cártel de ransomware Conti ha adquirido varios desarrolladores de élite de TrickBot para retirar el malware a favor de herramientas mejoradas como BazarBackdoor.
«Quizás una combinación de atención no deseada a TrickBot y la disponibilidad de plataformas de malware más nuevas y mejoradas ha convencido a los operadores de TrickBot para que lo abandonen», señalaron los investigadores. «Sospechamos que la infraestructura de control de malware (C2) se mantiene porque todavía hay algo de valor de monetización en los bots restantes».