Вредоносная программа TrickBot по ошибке предупреждает жертв о заражении


Пресловутая вредоносная программа TrickBot по ошибке покинула тестовый модуль, который предупреждает жертв о том, что они заражены, и должен связаться с администратором.

TrickBot - это вредоносная программа, распространяемая по вредоносным спам-сообщениям. После установки вредоносная программа будет тихо работать на компьютере жертвы, в то время как она загружает различные модули, которые выполняют различные задачи на зараженном компьютере.

Эти модули позволяют вредоносным программам похищать базу данных служб Active Directory домена, собирать пароли и куки-файлы браузера, красть ключи OpenSSH и распространяться по всей сети.

Что еще хуже, TrickBot, как известно, завершает свои атаки, предоставляя доступ операторам-вымогателям, таким как Ryuk и Conti.

Разработчики TrickBot допустили ошибку

В недавнем выпуске вредоносного ПО TrickBot, проанализированного Виталием Кремезом из Advanced Intel, действующие лица по ошибке распространяют тестовую версию своего модуля grabber.dll для кражи паролей. При загрузке этот модуль отображает предупреждение в браузере по умолчанию, в котором говорится, что программа собирает информацию и что жертва должна спросить своего системного администратора.

Предупреждение, отображаемое модулем захвата TrickBot

Warning
You see this message because the program named grabber gathered some information from your browser.
If you do not know what is happening it is the time to start be worrying.
Please, ask your system administrator for details.


Это предупреждение не является единичным случаем, так как BleepingComputer обнаружил пользователя, зараженного TrickBot, который опубликовал об этом предупреждении 16 дней назад в Reddit.

Grabber.dll - это модуль TrickBot для кражи паролей и файлов cookie, который пытается собрать сохраненные учетные данные браузера и файлы cookie из Chrome, Edge, Internet Explorer и Firefox. Эти украденные учетные данные и файлы cookie можно использовать для входа в учетные записи жертвы.

Kremez смог извлечь документацию, встроенную в модуль, которой мы поделились ниже.

Gathers info from local installed browsers and saves it to files.
Default saving directory is./confs (executable path subdir)
Browser selection:
-a, --all[[=]flags] All known browsers (default)
-F, --firefox[[=][flags],FILE] Mozilla Firefox browser (registry search)
-C, --chrome[[=][flags],FILE] Google Chrome (registry search)
-E, --edge[[=][flags],FILE] Microsoft Edge (supposing Windows 10 and later has only)
-I, --iexplorer[[=][flags],FILE] Microsoft Internet Explorer
Miscellaneous:
-L, --lso[=][, ]FILE Save common flash lso files (browser independent, lso managment)
-s, --silent Display only critical errors
-v, --verbose Increase verbosity level
-V, --version Display version information and exit
-h, --help Display this help text and exit

Для подробного технического анализа этого модуля grabber.dll, Kremez опубликовал сообщение в блоге на сайте Advanced Intel.

Кремез рассказал нам, что тестовый модуль, похоже, разработан разработчиками TrickBot, так как он «закодирован так же», как и другие модули. Он полагает, что создатели угрозы тестировали новую версию и забыли удалить ее, когда она вышла в эфир.

Для тех, кто видит это предупреждение, Kremez рекомендует немедленно отключить свой компьютер от сети, а затем выполнить сканирование с установленным программным обеспечением безопасности. После очистки вашего компьютера, вы должны изменить свои пароли на любом сайте, внешнем или внутреннем, учетные данные которого сохранены в браузере или недавно запланированные доступы в браузер.

Если жертва находится в корпоративной сети, другие компьютеры также могут быть взломаны, и следует провести тщательное расследование.


TrickBot Вирусы Безопасность
, оставишь комментарий?
Имя:*
E-Mail:


Реклама

Купите ключи и лицензии для различного софта по привлекательной цене, в онлайн-магазине цифровых товаров Softik.net.

Какие новости важнее?
Мы в соц.сетях

Вам понравился сайт?

Тогда вы можете стать его участником или помочь финансово.
Зарегистрироваться
Создайте собственную учетную запить!

Пройти регистрацию
Поддержите сайт
Прочтите как помочь финансово.

Подробнее
Наверх