Mã độc TrickBot được phát hiện lần đầu tiên vào năm 2016, nhưng kể từ đó nó đã phát triển và hoàn thiện các “kỹ năng” mới để phát tán và lây nhiễm tới hàng triệu máy tính, qua đó lấy cắp thông tin đăng nhập và dùng nó để đánh cắp tiền bạc của nạn nhân. Các phiên bản mới của mã độc này giờ đây có khả năng thích ứng và mô-đun cao, cho phép kẻ tạo ra nó bổ sung các “khẩu vị mới” tùy theo mục đích của chúng.
Trong vài tháng qua, nó đã được tùy chỉnh cho mùa đóng thuế để đánh cắp các tài liệu thuế nhằm thực hiện các khoản thu nhập gian lận. Gần đây, nó đã đạt tới khả năng có thể đánh cắp cookie và cho phép kẻ đứng sau nó đăng nhập vào tài khoản nạn nhân mà không cần dùng đến mật khẩu đăng nhập.
Với tốc độ tiến hóa mới của loại mã độc chuyên spam này, các nhà nghiên cứu đã đặt tên cho chúng là TrickBooster - loại mã độc chuyên gửi email độc hại từ tài khoản của nạn nhân, sau đó xóa các email (do chúng gửi) ở mục đã gửi và cả email phản hồi để xóa dấu vết, khiến nạn nhân rất khó phát hiện ra chúng.
Theo TechCrunch, các nhà nghiên cứu tại công ty an ninh mạng Deep Instinct đã phát hiện ra các máy chủ được dùng để phát tán các mã độc chuyên spam này và cho biết, họ có bằng chứng cho thấy tính đến nay malware này đã thu thập được hơn 250 triệu địa chỉ email. Ngoài lượng lớn các tài khoản Gmail, Yahoo và Hotmail quen thuộc, các nhà nghiên cứu cho biết đã có không ít địa chỉ mail của các cơ quan chính phủ Mỹ và các nước khác như Anh, Canada… bị thu thập.
Qua các tổ chức này, chúng có thể trở nên nguy hiểm hơn khi đánh cắp các thông tin nhạy cảm và dựa vào tính "háu ăn" của chúng, chúng sẽ phát tán email độc hại đến nhiều người nhất có thể. Khi máy nạn nhân nhiễm mã độc TrickBot, chúng có thể tải xuống các thành phần TrickBooster có xác thực số, gửi địa chỉ email và danh bạ của nạn nhân trở lại máy chủ của chúng rồi bắt đầu quá trình spam.
Mã độc này sử dụng các xác thực số giả mạo để tránh bị phát hiện, có nhiều chứng chỉ số của chúng được cấp dưới danh nghĩa các doanh nghiệp hợp pháp một cách khó tin.
Sau khi bị phát hiện vào ngày 25/6 qua, các cơ quan cấp chứng chỉ đã thu hồi chúng nên đã làm khó mã độc này hơn một chút. Sau khi xác định được các máy chủ chỉ huy, các nhà nghiên cứu đã thu giữ và tải xuống 250 triệu bộ đệm của các email. Nhưng họ cho biết, dù máy chủ này không được bảo vệ nhưng rất khó để truy cập vào hệ thống mạng của chúng do vấn đề về kết nối.
Theo các nhà nghiên cứu của Deep Instinct, TrickBooster là một biến thể mới mạnh mẽ bổ sung vào kho vũ khí khổng lồ của TrickBot, khiến các hành vi xâm nhập và lây nhiễm của chúng có khả năng qua mặt hầu hết các phần mềm chống virus hiện nay.