Októberben adtunk hírt arról, hogy az amerikai bíróság engedélyt adott arra, hogy a Microsoft felszámolja a TrickBot botnet hálózatot, azonban a készítőik továbbra is aktívan működnek.
Ráadásul új képességekkel vértezték fel a malwaret, hogy az sokkal ellenállóbb legyen, az Advanced Intelligence (AdvIntel) és az Eclypsium közös elemzésének köszönhetően derült ki, hogy a TrickBot egy új modullal gazdagodott a legutóbbi elemzések óta.
Az új modul a megfertőzni kívánt rendszerek UEFI/BIOS firmware sebezhetőségeit deríti fel, és ha talál védtelen rést, akkor a firmware megfertőzésével mélyebben megfertőzik a számítógépeket. Ennek köszönhetően a malware operációs rendszerből való eltávolítása nem elegendő, mert minden indításkor újra aktiválódik és még egy rendszer újratelepítés sem áll az útjába. A kutatók ezt az új modult TrickBoot-nak nevezték el.
A vizsgálatok kimutatták, hogy nem csak fertőzni tudják a firmware-t, hanem akár annak teljes tartalmát is törölhetik, ezzel használhatatlanná téve a számítógépeket.
A TrickBot egyébként a ma ismert legnagyobb mértékben adaptálódó malware, ugyanis 2016-os felfedezésekor még csak banki adatokat loptak rajta keresztül, viszont ma már a banki adatok birtokában automatizált tranzakciókat tud végezni, különböző Ransomware-eket is képes indítani a rendszereken, banki adatokon kívül egyéb személyes adatokat is lop, crypto-bányászatra képes és természetesen botnet jellegéből adódóan akár DDOS támadásokat is végre tud hajtani.
