近日有幾波獨立的攻擊活動顯示出Trickbot是如何地更新其執行和防禦躲避技術。首先是Malware Traffic偵測到這隻銀行木馬程式現在會用DLL檔案形式散播。Morphisec也報告說它加入了針對Windows 10的功能。趨勢科技研究人員也有發現這些新變種的樣本。
Trickbot透過DLL散播
Trickbot通常是由帶有DLL模組的EXE檔載入。而新的變種現在會用DLL檔載入。這隻木馬程式是透過微軟Word文件檔案進入,應該是經由垃圾郵件的惡意附件檔散播。一開始感染時,Trickbot會顯示為MS-DOS應用程式檔案。接著木馬程式會在受感染電腦上建立持續性能力。能夠看到將Trickbot植入為DLL檔的排程工作。