İlk olarak 2016'da görünen "modüler zararlı" Trickbot, Windows'lu makinelerden sistem bilgilerini, oturum açma bilgilerini ve diğer hassas verileri çalıyordu. Ancak Palo Alto Networks'ten araştırmacılar, kasım ayı itibariyle zararlının "parola toplayıcı" modülünün OpenSSH ve OpenVPN uygulamalarını gözüne kestirdiğini fark etti.
Trickbot'un bulaştığı bir Windows makinesi, farklı görevleri yerine getirmek için farklı modüller indirebiliyor. Modüller, her sistemde yer alan AppData\Roaming klasöründe şifreli olarak saklanıyor ve çalıştığı sırada şifresi, sistem belleğinde bir DLL dosyası olarak çözülüyor.
Trickbot'un parola toplayıcı modülü Pwgrab64, kurbanın web tarayıcısı önbelleğindeki ve diğer programlarda yazılmış olan parolaları topluyor. Palo Alto Networks, OpenSSH özel anahtarına ve OpenVPN parolalarına yönelik iki yeni HTTP POST isteği gördüğünü söylüyor.
Araştırmacılar, güncellenen zararlının henüz tam anlamıyla işler olmadığını düşünüyorlar. Bununla birlikte parola toplayıcı çalışıyor ve SSH parolaları ile özel anahtarlarını PutTY olarak bilinen SSH/Telnet istemcisinden toplayabiliyor.
Trickbot'tan korunmanın en iyi yolu, Windows'un en son sürümünü ve yamaların en güncel sürümlerini kullanmaktan geçiyor.