Пресловутая вредоносная программа TrickBot по ошибке покинула тестовый модуль, который предупреждает жертв о том, что они заражены, и должен связаться с администратором.

TrickBot - это вредоносная программа, распространяемая по вредоносным спам-сообщениям. После установки вредоносная программа будет тихо работать на компьютере жертвы, в то время как она загружает различные модули, которые выполняют различные задачи на зараженном компьютере.

Эти модули позволяют вредоносным программам похищать базу данных служб Active Directory домена, собирать пароли и куки-файлы браузера, красть ключи OpenSSH и распространяться по всей сети.

Что еще хуже, TrickBot, как известно, завершает свои атаки, предоставляя доступ операторам-вымогателям, таким как Ryuk и Conti.

Разработчики TrickBot допустили ошибку

В недавнем выпуске вредоносного ПО TrickBot, проанализированного Виталием Кремезом из Advanced Intel, действующие лица по ошибке распространяют тестовую версию своего модуля grabber.dll для кражи паролей. При загрузке этот модуль отображает предупреждение в браузере по умолчанию, в котором говорится, что программа собирает информацию и что жертва должна спросить своего системного администратора.

Предупреждение, отображаемое модулем захвата TrickBot

Warning
You see this message because the program named grabber gathered some information from your browser.
If you do not know what is happening it is the time to start be worrying.
Please, ask your system administrator for details.

Это предупреждение не является единичным случаем, так как BleepingComputer обнаружил пользователя, зараженного TrickBot, который опубликовал об этом предупреждении 16 дней назад в Reddit.

Grabber.dll - это модуль TrickBot для кражи паролей и файлов cookie, который пытается собрать сохраненные учетные данные браузера и файлы cookie из Chrome, Edge, Internet Explorer и Firefox. Эти украденные учетные данные и файлы cookie можно использовать для входа в учетные записи жертвы.

Kremez смог извлечь документацию, встроенную в модуль, которой мы поделились ниже.


Для подробного технического анализа этого модуля grabber.dll, Kremez опубликовал сообщение в блоге на сайте Advanced Intel.

Кремез рассказал нам, что тестовый модуль, похоже, разработан разработчиками TrickBot, так как он «закодирован так же», как и другие модули. Он полагает, что создатели угрозы тестировали новую версию и забыли удалить ее, когда она вышла в эфир.

Для тех, кто видит это предупреждение, Kremez рекомендует немедленно отключить свой компьютер от сети, а затем выполнить сканирование с установленным программным обеспечением безопасности. После очистки вашего компьютера, вы должны изменить свои пароли на любом сайте, внешнем или внутреннем, учетные данные которого сохранены в браузере или недавно запланированные доступы в браузер.

Если жертва находится в корпоративной сети, другие компьютеры также могут быть взломаны, и следует провести тщательное расследование.