セキュリティ企業のDeepInstinctはトリックボットの動向を注意深く観察しており、このマルウェアが近年、さらに危険な機能を備えるようになったと指摘する。その一つにあげられるのが、TrickBooster(トリックブースター)と呼ばれるものだ。これは、感染したコンピュータから、トリックボットを配信し、さらに感染台数を増やすものだ。
トリックボットの本来の目的は、金銭の詐欺だ。このマルウェアは人事部宛に送られる偽の履歴書などを装って拡散する。マイクロソフトのワードやエクセルなどに潜ませた、ウィルスを送りつけるのだ。
拡散の仕方は様々だが、その典型例の一つがマイクロソフトが用いるSMBプロトコルを経由したものだ。SMBは同じネットワークにつながる複数のコンピュータのデータを共有している。このため、組織内の一つの端末が感染した場合、それがあっという間に組織全体に広まってしまうことになる。
トリックボットの進化版であるトリックブースターは、組織内のコンピュータを乗っ取り、他の端末にトリックボットをEメールで送信する。これにより、マルウェアを含む添付ファイルの開封率をアップさせている。
DeepInstinctの調査で、世界で2億5000万件近くのEメールアカウントがトリックボットに乗っ取られていることが判明した。さらに問題が根深いのは、これらのメールアカウントが、過去に問題を起こしていたものとは異なる、未知のものであることだ。
そのうち2500万件以上がGメールのアカウントで、2100万件がYahoo!、さらに1100万件がHotmailだった。また、1000万件がAOLやMSNのアカウントであるとされている。DeepInstinctはこれ以外に、膨大な数の政府関連のメールアカウントが乗っ取られていると指摘した。
米国でトリックボットに感染したメールアドレスのなかには、司法省や国務省、国土安全保障省、郵政省のものもあるという。また、IRS(合衆国歳入庁)やNASAのアカウントも含まれている。さらに、カナダや英国の政府機関のアカウントもデータベース内で発見された。