近日，有安全研究员发现Trickbot恶意软件已经升级，新增一个网络侦察模块，可在感染受害者的计算机后对本地网络进行调查。

这个新增模块名为masrv，使用了开源masscan工具，这是一个带有TCP/IP栈的大规模端口扫描仪，能够在几分钟内扫描大量互联网。

该模块部署为WindowsDLL文件，其32位或64位结构取决于恶意软件感染的系统。也就是说Trickbot还在测试这个模块，看看使用网络映射是否能帮助他们提高受感染设备的数量和感染设备的效率。

受感染设备上的所有信息都会被导出到恶意软件的命令和控制服务器上，让恶意软件操作员来决定发现的机器是否值得添加到僵尸网络中。

Trickbot 首次出现在2016年10月，主要是通过挂马网页、钓鱼邮件的方式进行传播，最终进行窃取网银账号密码等操作。从那时起，它便不断升级，开发新的模块和功能，实现从抢劫和勒索软件到复杂的数据盗窃的所有功能。

2020年10月，微软与世界各地的网络运营商合作，拿下了 Trickbot 的关键基础设施，其背后的黑客组织无法再利用这个基础设施来分发恶意软件或勒索软件。

虽然这一操作成功地使Trickbot的关键基础设施瘫痪了大约94%，但要消灭僵尸网络却非常困难。2021年1月Trickbot 就卷土重来，反弹一个新的网络钓鱼电子邮件和诱饵。

如今Trickbot已经发展成为一种高度危险的恶意软件，甚至成为了其他形式的恶意软件的装载者，网络犯罪分子利用Trickbot已经破坏的计算机作为传递其他恶意有效载荷（包括勒索软件）的手段。

大家需要对此十分警惕。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com