هنگامی که میزبان ویندوز آلوده می شود. با استفاده از Trickbot ، ماژول های مختلفی را برای انجام توابع مختلف بارگیری می کند. این ماژول ها به صورت باینری رمزگذاری شده در یک پوشه واقع در دایرکتوری AppData Roaming سیستم آلوده ذخیره می شوند و سپس به عنوان پرونده های DLL که از حافظه سیستم کار می کنند رمزگشایی می شوند.

Pwgrab64 یک دستگیره رمز عبور است که توسط Trickbot استفاده می شود و این ماژول بازیابی می شود. مدارکی که در حافظه پنهان مرورگر قربانی ذخیره شده است ، اما می تواند اعتبار ورود به سیستم را از دیگر برنامه های نصب شده روی میزبان قربانی نیز بدست آورد.

هدف قرار دادن OpenSSH و OpenVPN

الگوهای ترافیک از عفونت های اخیر Trickbot تا نوامبر هنگامی که شبکه های Palo Alto شروع به مشاهده کردند ، نسبتاً سازگار بودند. دو درخواست HTTP POST جدید برای کلیدهای خصوصی OpenSSH و رمزهای عبور OpenVPN و پیکربندی های ناشی از گیرنده رمز عبور بدافزار.

خوشبختانه این به روزرسانی ها در ماژول گیربکس رمز عبور Trickbot ممکن است کاملاً کاربردی نباشد ، زیرا محققان هیچ داده واقعی از OpenVPN را مشاهده نکردند. در ترافیک ناشی از بدافزار. آنها همچنین آلودگی های Trickbot را در محیط های آزمایشگاهی تنظیم کردند که درخواست های HTTP POST ایجاد شده توسط گیرنده رمز عبور برای OpenSSH و OpenVPN فاقد اطلاعات بود.

با این وجود ، گیرنده رمز عبور Trickbot در واقع کار می کند و هنوز رمزهای SSH و کلیدهای خصوصی را از SSH بدست می آورند. مشتری Telnet با نام PuTTY.

الگوهای ترافیکی به روز شده کشف شده توسط شبکه های Palo Alto نشان می دهد که Trickbot به تکامل خود ادامه می دهد اما کاربران می توانند با اجرای نسخه های کاملاً اصلاح شده و به روز مایکروسافت ویندوز از قربانی شدن این بدافزار جلوگیری کنند. [19659011] همچنین لیست کاملی از بهترین خدمات VPN را ببینید