Criminelen hebben via de TrickBot-malware op grote schaal e-mailadressen van besmette systemen weten te stelen. Onderzoekers van securitybedrijf Deep Instinct vonden op een server van de malware een bestand met zo'n 250 miljoen verzamelde e-mailadressen, afkomstig van getroffen gebruikers.

Het gaat onder andere om e-mailadressen van Amerikaanse en Britse overheidsinstanties, waaronder de Amerikaanse ministeries van Justitie, Homeland Security en Binnenlandse Zaken. In het geval van de Britse overheid ging het onder andere om e-mailadressen van de ministeries van Defensie en Buitenlandse Zaken. Zo'n 26 miljoen van de e-mailadressen waren van Gmail-gebruikers. Yahoo volgt met 19 miljoen adressen op de tweede plek.

TrickBot steelt de e-mailadressen uit het adresboek en het e-mailaccount van het slachtoffer. Vervolgens gebruikt de malware de gestolen inloggegevens van de gebruiker om via zijn e-mailaccount spamberichten te versturen. Om geen sporen voor de gebruiker achter te laten verwijdert TricktBot de verzonden spamberichten uit de outbox van het account.

De malware maakt gebruik van Microsoft Office-documenten met kwaadaardige macro's om zich te verspreiden. Deze documenten worden via e-mail verstuurd. Zodra ontvangers de macro's in het ontvangen document inschakelen wordt TrickBot gedownload. Ook kan TrickBot door andere malware op het systeem worden geïnstalleerd. Het is niet de eerste keer dat TrickBot e-mailadressen steelt. Vorig jaar werd de malware van een module voorzien waarmee er e-mailadressen van Microsoft SQL Servers werden verzameld. Daarnaast werd TrickBot uitgerust met een module om allerlei wachtwoorden van het systeem te stelen.