TrickBot恶意软件错误地警告受害者他们已被感染

特技机器人

臭名昭著的TrickBot恶意软件错误地留下了一个测试模块,该模块警告受害者他们已被感染,应与管理员联系。

TrickBot是一种恶意软件感染,通常通过恶意垃圾邮件分发。安装后,该恶意软件将在受害者的计算机上安静运行,同时下载在受感染计算机上执行不同任务的各种模块。

READ MORE这些模块允许恶意软件窃取域的Active Directory服务数据库,获取浏览器密码和cookie,窃取OpenSSH密钥以及在整个网络中横向传播

更糟糕的是,众所周知TrickBot通过允许Ryuk和Conti这样的勒索软件运营商来结束攻击。

TrickBot开发人员犯了一个错误

在高级英特尔公司的Vitali Kremez分析的TrickBot恶意软件的最新版本中,威胁行动者错误地分发了窃取密码的tryber.dll模块的测试版本。

加载后,此模块在默认浏览器中显示警告,指出该程序正在收集信息,并且受害者应向系统管理员询问。

TrickBot的采集器模块显示的警告
TrickBot的采集器模块显示的警告
Warning
You see this message because the program named grabber gathered some information from your browser.
If you do not know what is happening it is the time to start be worrying.
Please, ask your system administrator for details.

这个警告也不是孤立的案例,因为BleepingComputer发现了一个感染了TrickBot的用户,他在16天前在Reddit上发布了有关此警告的信息。

Reddit用户问:“ Firefox正在警告我有关一个名为“抓取器”的程序。它是什么,我应该怎么做?”

Grabber.dll是TrickBot的密码和cookie窃取模块,它试图从Chrome,Edge,Internet Explorer和Firefox中获取保存的浏览器凭据和cookie。然后,这些被盗的凭据和cookie可以用于登录受害者的帐户。

Kremez能够提取嵌入在模块中的文档,我们在下面共享了该文档。

Gathers info from local installed browsers and saves it to files.
Default saving directory is ./confs (executable path subdir)
Browser selection:
  -a, --all[[=]flags]               All known browsers (default)
  -F, --firefox[[=][flags],FILE]    Mozilla Firefox browser (registry search)
  -C, --chrome[[=][flags],FILE]     Google Chrome (registry search)
  -E, --edge[[=][flags],FILE]       Microsoft Edge (supposing Windows 10 and later has only)
  -I, --iexplorer[[=][flags],FILE]  Microsoft Internet Explorer
Miscellaneous:
  -L, --lso[=][,]FILE               Save common flash lso files (browser independent, lso managment)
  -s, --silent                      Display only critical errors
  -v, --verbose                     Increase verbosity level
  -V, --version                     Display version information and exit
  -h, --help                        Display this help text and exit

有关此grabber.dll模块的详细技术分析,Kremez 在Advanced Intel网站上发布了博客文章

Kremez告诉BleepingComputer,该测试模块似乎由TrickBot开发人员开发,因为它与其他模块“以相同的方式编码”。他认为威胁行为者正在测试一个新版本,却忘记将其发布后再将其删除。

对于那些看到此警告的人,Kremez建议受害者立即断开计算机与网络的连接,然后使用安装的安全软件进行扫描。

清理完计算机后,受害者应在外部或内部的任何站点更改密码,这些站点的凭据已保存在浏览器中或最近从浏览器登录。

如果受害者在公司网络上,则其他计算机也可能已受到威胁,应进行彻底调查。

 

*编译:Domino

*来自:bleepingcomputer