Trickbot ist eine berüchtigte Windows-Malware, die als Service an eine Vielzahl von Kriminellen verliehen wird. Der modulare Banking-Trojaner wird meist über Spam-Kampagnen oder andere Malware verbreitet, die bereits ein System infiziert haben. Wenn Trickbot in einem System ist, sendet er Informationen und kann verschiedene Module herunterladen und ausführen.

2021 war die Malware weit verbreitet, obwohl den Strafverfolgern in den letzten beiden Jahren mehrere Schläge gegen die Urheber gelungen waren. Nun ist es aber offenbar ruhiger um die Malware geworden, die im Januar noch 1,5% der Angriffe in der Schweiz ausmachte, wie Security-Anbieter Check Point eruiert hat. Gute News sind das indes nicht, wie ein Bericht von Sicherheitsforschern von Intel 471 zeigt: Demnach arbeiten die Kriminellen mit den Urhebern von Emotet zusammen, einer verwandten bösartigen Software. Diese machte in der Schweiz über 8% aller Infektionen aus.

Ab November 2021 soll Trickbot als Kanal für das Herunterladen von Emotet verwendet worden sein, während das zuvor gerade umgekehrt lief. Es sei wahrscheinlich, dass die Trickbot-Betreiber ihre Malware zugunsten anderer Malware ausser Betrieb genommen hätten, so die Forscher von Intel 471. Zugleich sollen Entwickler von Trickbot von einer konkurrierenden Bande abgeworben worden sein, berichtet 'The Hacker News'.

Die Entwicklung zeigt einmal mehr, wie verwoben und beweglich das Ransomware-Ökosystem ist. Das macht es für die Strafverfolgung zusätzlich schwierig, der Urheber einer Malware habhaft zu werden. Schliesslich war das Huckepack länger umgekehrt: Trickbot kam über Emotet in die Netzwerke. Warum letzterer nach einem Schlag gegen die Infrastruktur im Herbst seine Rückkehr feierte, während Trickbot abtauchte, dürfte mit der Analyse von Intel 471 klarer geworden sein.