Wirusy mają to do siebie, że nieustannie mutują w coraz niebezpieczniejsze formy, stanowiące coraz większe zagrożenie dla ludzkiego zdrowia. Nie inaczej jest z wirusami komputerowymi, które z czasem potrafią przerodzić się w bardzo natrętne programy. Tak właśnie stało się ze znanym od 2016 roku malware TrickBot.
Według najnowszego raportu opublikowanego przez firmę Deep Instinct, TrickBot przejął ponad 250 milionów kont mailowych – na tak pokaźną bazę natrafiono w sieci. Wśród przejętych adresów nie brakuje kont należących do rządów krajów takich jak Stany Zjednoczone i Wielka Brytania. Co gorsza, najnowsze doniesienia mówią o tym, że wirus zaczął pozyskiwać dane osobowe i kontakty z zainfekowanych skrzynek pocztowych.
TrickBot, który wyewoluował w coś, co eksperci ds. bezpieczeństwa nazywają obecnie TrickBoosterem, działa w bardzo interesujący sposób. Po uzyskaniu dostępu do skrzynki mailowej i wysłaniu serii spamu, usuwa automatycznie wszystkie przesłane wiadomości zarówno z folderu „wysłane”, jak i kosza. Dzięki temu użytkownik poczty często nie jest świadomy istnienia robaka.
Jeśli dany komputer jest już zainfekowany TrickBotem, to szkodliwe oprogramowanie jest w stanie samodzielnie i bez wiedzy użytkownika pobrać komponent TrickBooster. To właśnie on odpowiada za wysyłanie kontaktów ofiary na główny serwer cyberprzestępców. Wirus posługuje się podrobionym certyfikatem, który znacząco utrudnia jego wykrycie.
Schemat działania Malware TrickBot / TrickBooster | Źródło: Deep Instinct
W wykrytej bazie 250 milionów e-maili zaatakowanych przez malware znajduje się aż 25 milionów adresów z poczty Gmail, 19 milionów z Yahoo.com oraz 11 milionów z Hotmail. Nie brakuje rzecz jasna domen regionalnych, z państw na całym świecie. Malware jest w stanie rozprzestrzeniać się drogą mailową, więc każda z zainfekowanych skrzynek jest jednocześnie nosicielem zagrożenia.
Źródło: DeepInstinct