لا تزال TrickBot وهي مجموعة من البرمجيات الخبيثة، تواصل إنتشارها منذ عام 2016. في الواقع يعتبر الكثيرون في عالم الأمن السيبراني أنها تشكل التهديد الأكبر الذي يستهدف الشركات في الوقت الحالي. يعتقد الخبراء أن عدد ضحايا TrickBot قد زاد عن 250 مليون حساب بريد إلكتروني حتى الآن.
في السنوات الأخيرة قام الباحثون في DeepInstinct بتتبع نشاط TrickBot ورأوا أن هذه البرامج الضارة لا زالت تتطور وتضيف قدرات جديدة جعلت منها تهديداً أكثر خطورة.
أحد هذه التطورات هو شيء تشير إليه DeepInstinct باسم TrickBooster. مهمتها: إرسال رسائل بريد إلكتروني غير مرغوب فيها من أجهزة الحاسوب المصابة من أجل زيادة انتشار فيروس TrickBot.
في حقيقة الأمر إن TrickBot هو حصان طروادة يستهدف المؤسسات. عادةً ما يتم نشره عبر رسائل البريد الإلكتروني العشوائية – مثل السير الذاتية الزائفة التي يتم إرسالها إلى الموارد البشرية أو الفواتير المرسلة إلى موظفي الحسابات. عادةً ما يتم إرفاق تلك الملفات في شكل ملفات Microsoft Word أو Excel.
يمكن أن ينتشر TrickBot داخل المؤسسة بعدة طرق مختلفة. تتمثل إحدى الطرق في استغلال الثغرات الأمنية في SMB ، وهو بروتوكول يسمح لأجهزة الحاسوب التي تعمل بنظام Windows بمشاركة الملفات والمجلدات الموجودة على الأنظمة الأخرى على نفس الشبكة والوصول إليها بسهولة.
TrickBooster يعطي TrickBot وسيلة فعالة للغاية لنشر الفيروس. عن طريق إرسال رسائل بريد إلكتروني من عناوين موثوقة داخل المنظمة ، يزيد TrickBot من احتمالات أن الضحية المحتملة ستفتح أحد المرفقات المحتوية على الفيروس.
تمكنت DeepInstinct من التسلل إلى قاعدة بيانات متصلة بعمليات TrickBot. اكتشف باحثو الشركة مجموعة من حوالي 250 مليون عنوان بريد إلكتروني تم إختراقها بواسطة TrickBot.
من بينها أكثر من 25 مليون من Gmail ، و 21 مليون من Yahoo! ، و 11 مليون من Hotmail و 10 ملايين آخرين ينتمون إلى مستخدمي AOL و MSN. رصدت DeepInstinct أيضًا عشرات من العناوين التي تخص العاملين الحكوميين.
تشمل الحسابات المستندة إلى الولايات المتحدة والموجودة في موقع TrickBot على الويب موظفين من وزارة العدل ووزارة الخارجية والأمن الداخلي والخدمة البريدية بالإضافة إلى FAA و ATF و IRS و NASA. تم العثور على حسابات البريد الإلكتروني الخاصة بالعديد من الوكالات الكندية والبريطانية في قاعدة البيانات.