În fiecare zi, mii de dispozitive sunt infectate de malware, viruși și ransomware. Ceea ce nu este obișnuit este că malware în sine vă avertizează că sunteți infectat. Și cu asta s-a întâmplat TrickBot , care din greșeală a programatorilor săi vă avertizează că sunteți infectat.
După cum vă puteți imagina, aceasta este o eroare gravă din partea creatorului de malware, dar, în același timp, este și ceva pozitiv pentru noi, deoarece putem proceda la eliminarea acesteia folosind instrumentele adecvate. Programatorii cunoscutului malware TrickBot au făcut o greșeală foarte gravă în timpul programării lor. Greșeala este că au uitat să elimine un modul de testare care avertizează victimele că sunt infectate și că ar trebui să ia legătura cu administratorul lor.
Modul în care funcționează TrickBot este printr-o infecție malware care este distribuită de obicei prin e-mailuri spam rău intenționate. Odată instalat, primul lucru pe care îl va face este să ruleze în tăcere pe computerul victimei. Odată făcut, următorul pas va fi descărcarea mai multor module care efectuează diferite sarcini pe computerul infectat.
Aceste module care au fost instalate vor permite malware-ului să efectueze următoarele acțiuni:
- Furarea bazei de date Active Directory Services dintr-un domeniu.
- Colectați parolele și cookie-urile browserului.
- Furați cheile OpenSSH și permiteți-i să se răspândească lateral pe o rețea.
Cu toate acestea, lucrurile se pot agrava, deoarece știm că poți face mai mult. TrickBot își va încheia atacurile permițând accesul la ransomware precum Ryuk și Conti.
Programatorii TrickBot au făcut o greșeală de neiertat
Vitali Kremez de Advanced Intel Analizând o lansare recentă a malware-ului TrickBot, s-a descoperit că dezvoltatorii amenințării distribuie în mod greșit o versiune de încercare a modulului lor grabber.dll care fură parolele.
Odată ce acest modul este instalat, ceea ce face este să afișeze un avertisment în browserul implicit al victimei. Acesta indică faptul că programul colectează informații și că solicitați administratorului de sistem mai multe detalii. Aici aveți o recreație a ceea ce ar apărea pe ecranele dvs.
Acest caz despre care am discutat anterior nu este un caz izolat. A utilizator Reddit a întrebat acum puțin peste cincisprezece zile în căutarea unei soluții la problema lui, deoarece a lui Firefox browserul îl avertiza despre un program numit grabber
În caz că nu știți, Grabber.dll este parola pentru TrickBot și modulul de furt de cookie. Cu aceasta, ceea ce încercați să faceți este să colectați acreditările și cookie-urile salvate de la Chrome, Margine, Browserele Internet Explorer și Firefox. Datorită acestor acreditări și cookie-uri furate, dezvoltatorii le-ar putea folosi pentru a se conecta la conturile victimei.
Cercetări Kremez și recomandări despre TrickBot.
Kremez a putut extrage următoarea documentație încorporată în modul și pe care o puteți vedea în imaginea următoare.
Dacă doriți să cunoașteți o analiză tehnică mai detaliată a acestui modul grabber.dll, Kremez a publicat toate informațiile într-un blog pe site-ul Advanced Intel.
Potrivit lui Kremez, acest modul de test pare a fi fost dezvoltat de creatorii TrickBot. Motivul pentru care credeți că acest lucru se datorează faptului că este codat la fel ca alte module. În plus, el crede, de asemenea, că programatorii amenințării testau o nouă versiune și au uitat să o șteargă când a fost lansată.
Dacă vedeți acest avertisment TrickBot, primul lucru pe care Kremez le recomandă victimelor este acela că acestea se deconectează imediat de la rețea. Apoi, următorul pas pe care trebuie să-l facă este o scanare cu software-ul de securitate instalat.
După ce amenințarea a fost eliminată de pe computer, trebuie să facem mai multe. Victimele trebuie să își schimbe parolele pentru orice site, extern sau intern, ale cărui date de acreditare sunt salvate în browser. În plus, trebuie să facem același lucru și cu parolele cu care ne conectăm la acel browser.
