«Обнаруженные новые возможности используются для мониторинга и сбора информации жертв с помощью кастомного протокола связи для сокрытия передачи данных между [C&C] серверами и жертвами, что затрудняет обнаружение атак», - сообщили исследователи.
По словам специалистов, несмотря на попытки Microsoft и Киберкомандования США отключить инфраструктуру ботнета TrickBot, нет никаких признаков того, что вредонос скоро исчезнет. Наоборот, его операторы и продолжают совершенствовать программу. К примеру, вредонос получил новые компоненты, позволяющие хакерам внедрять бэкдоры в Unified Extensible Firmware Interface (UEFI), избегать обнаружения антивирусными решениями, получать обновления и даже удалять и переустанавливать операционную систему.
Согласно Bitdefender, в настоящее время злоумышленники активно разрабатывают обновленную версию модуля под названием «vncDll», использующуюся в атаках TrickBot на избранные цели для мониторинга и сбора разведданных.
Новый модуль предназначен для связи с одним из девяти C&C-серверов, указанным в его конфигурационном файле. Вредонос получает с этого C&C-сервера набор команд, загружает дополнительное вредоносное ПО и передает на него собранные со взломанной машины данные.