Компания ESET приняла участие в глобальной операции по выявлению ботнета Trickbot, который с 2016 года заразил более миллиона устройств. В сотрудничестве с Microsoft, Lumen's Black Lotus Labs Threat Research, NTT и другими компаниями удалось обнаружить командные серверы (C&C) ботнета. Вкладом специалистов ESET в ход операции стал технический анализ, статистическая информация, известные доменные имена и IP-адреса C&C серверов.

Стоит отметить, что Trickbot известный своими кражами учетных данных со скомпрометированных компьютеров. Однако в последнее время он использовался в основном как механизм распространения более опасных угроз, например, программ-вымогателей.

Активность ботнета специалисты ESET отслеживают с момента его первого обнаружения в конце 2016 года. Только за 2020 год платформа ESET для отслеживания ботнетов проанализировала более 125 000 вредоносных образцов, загрузила и расшифровала более 40 000 файлов конфигурации, которые использувались различными модулями Trickbot. Это позволило получить полную информацию о различных C&C серверах ботнета.

«В течение нескольких лет наблюдения за Trickbot случаи инфицирования фиксировались постоянно, что делает его одним из крупнейших и дольше всего существующих ботнетов. Trickbot — одно из самых распространенных семейств вредоносных банковских программ, а этот тип угрозы представляет опасность для пользователей во всем мире», — объясняет Жан-Ян Бутин, руководитель исследовательской лаборатории ESET.

За время своего существования Trickbot распространялся различными способами. Недавно это вредоносное программное обеспечение загружалось в системы уже зараженные другим крупным ботнетом — Emotet. Тогда как раньше киберпреступники использовали Trickbot в основном как банковский троян, похищая учетные данные для входа в Интернет-банкинг и пытаясь осуществить мошеннические переводы.