TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service，简称 caa)解决方案，被各种黑客用来提供下一阶段的有效载荷，比如勒索软件。TrickBot似乎正在做出转变，自今年年初以来没有新的活动记录。

Intel 471的研究人员在与The Hacker News分享的一份报告中说，恶意软件活动的暂停“部分是由于 Trickbot 运营商的重大转变，变化包括与 Emotet 运营商的合作”。

最近一次涉及 TrickBot 的攻击发生在2021年12月28日，但与该恶意软件相关的命令与控制(C2)基础设施一直在为僵尸 *** 中受感染的节点提供额外的插件和 *** 注入。

有趣的是，TrickBot 团伙活动量的减少也伴随着与 Emotet 操作者密切的合作 ，在执法部门解决恶意软件10个月之后，Emotet 在去年年底死灰复燃。

2021年11月首次观察到的攻击包含一个感染序列，使用 TrickBot 作为下载和执行 Emotet 二进制文件的渠道，而在攻击之前，Emotet 经常被用来传递 TrickBot 的样本。

研究人员说: “很有可能，TrickBot 的运营者已经将 TrickBot 的恶意软件从他们的运营中剔除，转而使用其他平台，比如 Emotet。”“毕竟，TrickBot 是一个相对老旧的恶意软件，还没有进行过大规模的更新。”

此外，Intel 471表示，它观察到 TrickBot 在2021年11月 Emotet 回归后不久将 Qbot 安装到被破坏的系统中，这再次暗示了幕后重组正在转移到其他平台。

随着 TrickBot 在2021年越来越多地受到执法者的关注，它背后的攻击者正在积极地试图改变战术和更新他们的防御措施。

根据 Advanced Intelligence (AdvIntel)上周发布的另一份报告，Conti 勒索软件团伙据信已经人才并购了 TrickBot 的几名精英开发者，让他们放弃这种恶意软件，转而使用BazarBackdoor 等增强型工具。

研究人员指出: “也许研究员对 TrickBot 的不必要的关注和更新、改进后的恶意软件平台的可用性使得 TrickBot 的操作者放弃了它。”“我们怀疑恶意软件控制基础设施(C2)仍在维护，因为剩下的机器人仍然有一些经济价值。”