Следующая новость
Предыдущая новость

Малварь TrickBot случайно уведомила своих жертв о заражении

15.07.2020 0:42
Малварь TrickBot случайно уведомила своих жертв о заражении

Рекомендуем почитать:

Xakep #254. Android: атака и защита

  • Содержание выпуска
  • Подписка на «Хакер»

Издание Bleeping Computer сообщает, что ИБ-специалист Advanced Intel Виталий Кремез изучил новую версию известной малвари TrickBot и обнаружил в ней интересный баг. Оказалось, что тестовая версия модуля для кражи паролей grabber.dll, скорее всего включенная в состав малвари по ошибке, предупреждает жертв о компрометации.

Так, после загрузки данный модуль выводит предупреждение в браузере по умолчанию. Оно гласит, что программа grabber собирает информацию из браузера, и жертве нужно срочно связаться со своим системным администратором.

Малварь TrickBot случайно уведомила своих жертв о заражении

Bleeping Computer отмечает, что на Reddit уже можно найти жалобы пользователей, зараженных свежей версией TrickBot, которые недоумевают, почему Firefox вдруг стал предупреждать их о некоторой программе grabber.

Модуль grabber.dll, как можно догадаться по его названию, предназначен для кражи паролей и файлов cookie из браузеров Chrome, Edge, Internet Explorer и Firefox. Похищенные таким образом данные могут использоваться хакерами для входа в учетные записи жертв.

Виталий Кремез полагает, что этот модуль был создан самими разработчиками TrickBot, так как сталь кода совпадает с остальными компонентами малвари. Видимо, хакеры проверяли новую версию малвари и попросту забыли удалить из нее тестовую итерацию модуля, когда состоялся релиз.

Напомню, что вредонос TrickBot преимущественно распространяется посредством спамерских писем. После установки на машину жертвы, малварь загружает различные дополнительные модули, которые выполняют самые разные задачи: хищение БД Active Directory Services, сбор паролей и файлов cookie из браузера, кража ключей OpenSSH, а также дальнейшее распространение по всей сети.
Хуже того, в конечном итоге TrickBot предоставляет доступ к зараженным системами операторам вымогательского ПО, включая Ryuk и Conti.

Источник

Последние новости