Вредоносная программа TrickBot по ошибке предупреждает жертв о заражении

person access_time12-07-2020, 12:29 visibility343 chat_bubble_outline0

Пресловутая вредоносная программа TrickBot по ошибке покинула тестовый модуль, который предупреждает жертв о том, что они заражены, и должен связаться с администратором.

TrickBot - это вредоносная программа, распространяемая по вредоносным спам-сообщениям. После установки вредоносная программа будет тихо работать на компьютере жертвы, в то время как она загружает различные модули, которые выполняют различные задачи на зараженном компьютере.

Эти модули позволяют вредоносным программам похищать базу данных служб Active Directory домена, собирать пароли и куки-файлы браузера, красть ключи OpenSSH и распространяться по всей сети.

Что еще хуже, TrickBot, как известно, завершает свои атаки, предоставляя доступ операторам-вымогателям, таким как Ryuk и Conti.

Разработчики TrickBot допустили ошибку

В недавнем выпуске вредоносного ПО TrickBot, проанализированного Виталием Кремезом из Advanced Intel, действующие лица по ошибке распространяют тестовую версию своего модуля grabber.dll для кражи паролей. При загрузке этот модуль отображает предупреждение в браузере по умолчанию, в котором говорится, что программа собирает информацию и что жертва должна спросить своего системного администратора.

Предупреждение, отображаемое модулем захвата TrickBot

Warning
You see this message because the program named grabber gathered some information from your browser.
If you do not know what is happening it is the time to start be worrying.
Please, ask your system administrator for details.


Это предупреждение не является единичным случаем, так как BleepingComputer обнаружил пользователя, зараженного TrickBot, который опубликовал об этом предупреждении 16 дней назад в Reddit.

Grabber.dll - это модуль TrickBot для кражи паролей и файлов cookie, который пытается собрать сохраненные учетные данные браузера и файлы cookie из Chrome, Edge, Internet Explorer и Firefox. Эти украденные учетные данные и файлы cookie можно использовать для входа в учетные записи жертвы.

Kremez смог извлечь документацию, встроенную в модуль, которой мы поделились ниже.

Gathers info from local installed browsers and saves it to files.
Default saving directory is./confs (executable path subdir)
Browser selection:
-a, --all[[=]flags] All known browsers (default)
-F, --firefox[[=][flags],FILE] Mozilla Firefox browser (registry search)
-C, --chrome[[=][flags],FILE] Google Chrome (registry search)
-E, --edge[[=][flags],FILE] Microsoft Edge (supposing Windows 10 and later has only)
-I, --iexplorer[[=][flags],FILE] Microsoft Internet Explorer
Miscellaneous:
-L, --lso[=][, ]FILE Save common flash lso files (browser independent, lso managment)
-s, --silent Display only critical errors
-v, --verbose Increase verbosity level
-V, --version Display version information and exit
-h, --help Display this help text and exit

Для подробного технического анализа этого модуля grabber.dll, Kremez опубликовал сообщение в блоге на сайте Advanced Intel.

Кремез рассказал нам, что тестовый модуль, похоже, разработан разработчиками TrickBot, так как он «закодирован так же», как и другие модули. Он полагает, что создатели угрозы тестировали новую версию и забыли удалить ее, когда она вышла в эфир.

Для тех, кто видит это предупреждение, Kremez рекомендует немедленно отключить свой компьютер от сети, а затем выполнить сканирование с установленным программным обеспечением безопасности. После очистки вашего компьютера, вы должны изменить свои пароли на любом сайте, внешнем или внутреннем, учетные данные которого сохранены в браузере или недавно запланированные доступы в браузер.

Если жертва находится в корпоративной сети, другие компьютеры также могут быть взломаны, и следует провести тщательное расследование.
tagsКлючевые слова
Ctrl
Enter
Заметили ошЫбку
Выделите и нажмите Ctrl+Enter

Другие статьи

O&O ShutUp10++ для полного управления конфиденциальностью в Windows 11

O&O ShutUp10++ для полного управления конфиденциальностью в Windows 11

person77moroz access_time13-окт-2021

Еще в те дни, когда Windows 10 была самой новой операционной системой, интегрированная система

WinRAR лучший архиватор из себе подобных

WinRAR лучший архиватор из себе подобных

person77moroz access_time03-ноя-2020

WinRAR - это усовершенствованная утилита сжатия данных, которая поддерживает широкий спектр

Добавить комментарий

Комментарии (0)