Вредоносная программа TrickBot по ошибке предупреждает жертв о заражении

person access_time12-07-2020, 12:29 visibility523 chat_bubble_outline0

Пресловутая вредоносная программа TrickBot по ошибке покинула тестовый модуль, который предупреждает жертв о том, что они заражены, и должен связаться с администратором.

TrickBot - это вредоносная программа, распространяемая по вредоносным спам-сообщениям. После установки вредоносная программа будет тихо работать на компьютере жертвы, в то время как она загружает различные модули, которые выполняют различные задачи на зараженном компьютере.

Эти модули позволяют вредоносным программам похищать базу данных служб Active Directory домена, собирать пароли и куки-файлы браузера, красть ключи OpenSSH и распространяться по всей сети.

Что еще хуже, TrickBot, как известно, завершает свои атаки, предоставляя доступ операторам-вымогателям, таким как Ryuk и Conti.

Разработчики TrickBot допустили ошибку

В недавнем выпуске вредоносного ПО TrickBot, проанализированного Виталием Кремезом из Advanced Intel, действующие лица по ошибке распространяют тестовую версию своего модуля grabber.dll для кражи паролей. При загрузке этот модуль отображает предупреждение в браузере по умолчанию, в котором говорится, что программа собирает информацию и что жертва должна спросить своего системного администратора.

Предупреждение, отображаемое модулем захвата TrickBot

Warning
You see this message because the program named grabber gathered some information from your browser.
If you do not know what is happening it is the time to start be worrying.
Please, ask your system administrator for details.


Это предупреждение не является единичным случаем, так как BleepingComputer обнаружил пользователя, зараженного TrickBot, который опубликовал об этом предупреждении 16 дней назад в Reddit.

Grabber.dll - это модуль TrickBot для кражи паролей и файлов cookie, который пытается собрать сохраненные учетные данные браузера и файлы cookie из Chrome, Edge, Internet Explorer и Firefox. Эти украденные учетные данные и файлы cookie можно использовать для входа в учетные записи жертвы.

Kremez смог извлечь документацию, встроенную в модуль, которой мы поделились ниже.

Gathers info from local installed browsers and saves it to files.
Default saving directory is./confs (executable path subdir)
Browser selection:
-a, --all[[=]flags] All known browsers (default)
-F, --firefox[[=][flags],FILE] Mozilla Firefox browser (registry search)
-C, --chrome[[=][flags],FILE] Google Chrome (registry search)
-E, --edge[[=][flags],FILE] Microsoft Edge (supposing Windows 10 and later has only)
-I, --iexplorer[[=][flags],FILE] Microsoft Internet Explorer
Miscellaneous:
-L, --lso[=][, ]FILE Save common flash lso files (browser independent, lso managment)
-s, --silent Display only critical errors
-v, --verbose Increase verbosity level
-V, --version Display version information and exit
-h, --help Display this help text and exit

Для подробного технического анализа этого модуля grabber.dll, Kremez опубликовал сообщение в блоге на сайте Advanced Intel.

Кремез рассказал нам, что тестовый модуль, похоже, разработан разработчиками TrickBot, так как он «закодирован так же», как и другие модули. Он полагает, что создатели угрозы тестировали новую версию и забыли удалить ее, когда она вышла в эфир.

Для тех, кто видит это предупреждение, Kremez рекомендует немедленно отключить свой компьютер от сети, а затем выполнить сканирование с установленным программным обеспечением безопасности. После очистки вашего компьютера, вы должны изменить свои пароли на любом сайте, внешнем или внутреннем, учетные данные которого сохранены в браузере или недавно запланированные доступы в браузер.

Если жертва находится в корпоративной сети, другие компьютеры также могут быть взломаны, и следует провести тщательное расследование.
tagsКлючевые слова

Другие статьи

Исправляем ошибку установки обновлений Windows 10

Исправляем ошибку установки обновлений Windows 10

persons_moryachok access_time01-мар-2024

Windows 10 — это уже не самая новая операционная система от Microsoft, но иногда пользователи

Сброс сетевых настроек Windows - командная строка

Сброс сетевых настроек Windows - командная строка

persons_moryachok access_time01-мар-2024

Сетевые проблемы могут быть очень раздражающими и влиять на нашу работу и повседневную жизнь. В

Добавить комментарий

Комментарии (0)