매일 수천 개의 장치가 맬웨어, 바이러스 및 랜섬웨어에 감염됩니다. 일반적이지 않은 것은 멀웨어 자체가 감염되었음을 경고한다는 것입니다. 그리고 그것은 일어난 일입니다 TrickBot 프로그래머가 실수로 귀하가 감염되었음을 경고합니다.
당신이 상상할 수 있듯이, 이것은 악성 코드 작성자의 심각한 오류이지만 동시에 적절한 도구를 사용하여 제거 할 수 있기 때문에 우리에게 긍정적 인 것입니다. 잘 알려진 TrickBot 악성 코드의 프로그래머는 프로그래밍 과정에서 매우 심각한 실수를 저질렀습니다. 실수는 감염된 피해자에게 관리자에게 연락해야한다는 경고를주는 테스트 모듈을 제거하는 것을 잊었다는 것입니다.
TrickBot의 작동 방식은 일반적으로 악성 스팸 이메일을 통해 배포되는 맬웨어 감염입니다. 일단 설치되면, 피해자의 컴퓨터에서 자동으로 실행됩니다. 완료되면 다음 단계는 감염된 컴퓨터에서 다른 작업을 수행하는 여러 모듈을 다운로드하는 것입니다.
설치된 이러한 모듈을 통해 맬웨어는 다음 작업을 수행 할 수 있습니다.
- 도메인에서 Active Directory 서비스 데이터베이스를 훔치기
- 브라우저 비밀번호 및 쿠키를 수집하십시오.
- OpenSSH 키를 훔쳐 네트워크 전체에 가로로 확산시킬 수 있습니다.
그러나 더 많은 일을 할 수 있다는 것을 알고 있기 때문에 상황이 악화 될 수 있습니다. TrickBot은 Ryuk 및 Conti와 같은 랜섬웨어에 대한 액세스를 허용하여 공격을 종료합니다.
TrickBot 프로그래머는 용서할 수없는 실수를했습니다
비탈리 크렘 스 고급 인텔 TrickBot 맬웨어의 최근 릴리스를 분석 한 결과 위협 개발자가 암호를 훔치는 grabber.dll 모듈의 평가판을 실수로 배포하고 있음을 발견했습니다.
이 모듈을 설치하면 대상의 기본 브라우저에 경고가 표시됩니다. 프로그램이 정보를 수집하고 있으며 자세한 내용은 시스템 관리자에게 문의하십시오. 여기에 화면에 나타날 내용이 재현되어 있습니다.
이전에 논의한이 사례는 격리 된 사례가 아닙니다. ㅏ 레딧 사용자 XNUMX 일 전에 문제에 대한 해결책을 찾기 위해 질문했습니다. 파이어 폭스 브라우저는 그래버라는 프로그램에 대해 경고했습니다.
모르는 경우 Grabber.dll은 TrickBot 및 쿠키 도난 모듈의 비밀번호입니다. 그것으로, 당신이하려는 것은 저장된 자격 증명과 쿠키를 수집하는 것입니다. 크롬, Edge, Internet Explorer 및 Firefox 브라우저. 이러한 훔친 자격 증명과 쿠키 덕분에 개발자는이를 사용하여 피해자의 계정에 로그인 할 수 있습니다.
TrickBot에 대한 Kremez 연구 및 권장 사항.
Kremez는 모듈에 포함 된 다음 문서를 추출 할 수 있었고 다음 이미지에서 볼 수 있습니다.
이 grabber.dll 모듈에 대한보다 자세한 기술 분석을 원하면 Kremez가 모든 정보를 공개했습니다. 블로그에서 Advanced Intel 웹 사이트에서
Kremez에 따르면 테스트 모듈은 TrickBot 제작자가 개발 한 것으로 보입니다. 당신이 이것을 생각하는 이유는 다른 모듈과 같은 방식으로 코딩되기 때문입니다. 또한 그는 위협의 프로그래머가 새 버전을 테스트하고 있으며 릴리스 될 때 삭제하는 것을 잊었다 고 생각합니다.
이 TrickBot 경고가 표시되면 Kremez가 피해자에게 가장 먼저 권장하는 것은 네트워크에서 즉시 컴퓨터 연결을 끊는 것입니다. 다음으로 수행해야 할 단계는 보안 소프트웨어가 설치된 스캔입니다.
컴퓨터에서 위협 요소가 제거되면 더 많은 조치를 취해야합니다. 피해자는 자격 증명이 브라우저에 저장된 외부 또는 내부 사이트의 비밀번호를 변경해야합니다. 또한 해당 브라우저에 로그인 할 때 사용하는 비밀번호와 동일한 작업을 수행해야합니다.
