Các hacker đứng sau TrickBot đang tăng cường các thủ thuật mới nhằm mở rộng, phát tán ransomware, chẳng hạn ransomware Coti.
Nhóm hacker, có biệt danh ITG23 và Wizard Spider, được phát hiện có hợp tác với các băng nhóm tội phạm mạng như Hive0105, Hive0106 (hay còn gọi là TA551 hoặc Shathak) và Hive0107, để tăng cường chiến dịch phát tán phần mềm độc hại, theo một báo cáo của IBM X-Force.
Nhà nghiên cứu Ole Villadsen và Charlotte Hammond cho biết: “Các nhóm tội phạm này đang tấn công lây nhiễm mã độc vào mạng của các công ty bằng cách chiếm đoạt các trao đổi email, sử dụng biểu mẫu khách hàng phản hồi giả mạo và các cuộc gọi lừa đảo có tên BazarCall”.
Kể từ khi nổi lên từ năm 2016, TrickBot từ một trojan ngân hàng đã phát triển thành một giải pháp phần mềm tội phạm dựa trên modular Windows, nổi bật về khả năng phục hồi, duy trì và cập nhật bộ công cụ, cơ sở hạ tầng bất chấp các nỗ lực gỡ bỏ của cơ quan thực thi pháp luật. Bên cạnh TrickBot, nhóm Wizard Spider còn được cho là đã phát triển BazarLoader và một cửa hậu có tên là Anchor.
Trong một chuỗi lây nhiễm được IBM quan sát vào cuối tháng 8 năm 2021, Hive0107 được cho là đã áp dụng một chiến thuật mới, cụ thể là gửi email tới các công ty mục tiêu thông báo rằng trang web của họ đã thực hiện các cuộc tấn công từ chối dịch vụ DDoS, thúc giục người nhận nhấp vào liên kết để có thêm bằng chứng. Sau khi truy cập, liên kết này sẽ tải xuống tệp lưu trữ ZIP chứa trình tải xuống JavaScript (JS) độc hại và có liên hệ với một URL từ xa để lây nhiễm phần mềm độc hại BazarLoader có nhiệm vụ thả Cobalt Strike và TrickBot.
“ITG23 cũng đã cải tiến các ransomware thông qua việc tạo ra Conti ransomware-as-a-service (RaaS) và sử dụng các BazarLoader và Trickbot để tấn công “, các nhà nghiên cứu kết luận. “Sự phát triển mới nhất này thể hiện sức mạnh trong hệ sinh thái tội phạm mạng và khả năng tận dụng các mối liên quan này để mở rộng đối tượng tấn công”.
Nguồn The Hacker News