Maintenant, le Malware TrickBot vous avertit que vous êtes infecté par erreur

Comme vous pouvez l'imaginer, il s'agit d'une grave erreur du créateur du malware, mais en même temps, c'est aussi quelque chose de positif pour nous puisque nous pouvons procéder à son élimination à l'aide des outils appropriés. Les programmeurs du célèbre malware TrickBot ont commis une très grave erreur lors de leur programmation. L'erreur est qu'ils ont oublié de supprimer un module de test qui avertit les victimes qu'elles sont infectées et qu'elles doivent contacter leur administrateur.

Le fonctionnement de TrickBot passe par une infection malveillante qui est généralement distribuée par le biais de spams malveillants. Une fois installé, la première chose à faire est de s'exécuter en silence sur l'ordinateur de la victime. Une fois cela fait, l'étape suivante consistera à télécharger plusieurs modules qui effectuent différentes tâches sur l'ordinateur infecté.

Ces modules installés permettront aux logiciels malveillants d'effectuer les actions suivantes:

• Vol de la base de données des services Active Directory d'un domaine.
• Collectez les mots de passe et les cookies du navigateur.
• Volez les clés OpenSSH et permettez-lui de se propager latéralement sur un réseau.

Cependant, les choses peuvent empirer parce que nous savons que vous pouvez faire plus. TrickBot mettra fin à ses attaques en autorisant l'accès à des ransomwares tels que Ryuk et Conti.

Les programmeurs de TrickBot ont fait une erreur impardonnable

Vitali Kremez de Advanced Intel l'analyse d'une version récente du malware TrickBot a découvert que les développeurs de la menace distribuent par erreur une version d'essai de leur module grabber.dll qui vole les mots de passe.

Une fois ce module installé, il affiche un avertissement dans le navigateur par défaut de la victime. Cela indique que le programme collecte des informations et que vous demandez plus de détails à votre administrateur système. Ici, vous avez une reconstitution de ce qui apparaîtrait sur vos écrans.

Ce cas dont nous avons discuté auparavant n'est pas un cas isolé. UNE utilisateur Reddit demandé il y a un peu plus de quinze jours à la recherche d'une solution à son problème parce que son Firefox navigateur l'avertissait d'un programme appelé grabber.

Au cas où vous ne le sauriez pas, Grabber.dll est le mot de passe de TrickBot et du module de vol de cookies. Avec lui, ce que vous essayez de faire est de collecter les informations d'identification enregistrées et les cookies de Chrome, Edge, Navigateurs Internet Explorer et Firefox. Grâce à ces informations d'identification et cookies volés, les développeurs pouvaient les utiliser pour se connecter aux comptes de la victime.

Recherche et recommandations de Kremez sur TrickBot.

Kremez a pu extraire la documentation suivante intégrée au module et que vous pouvez voir dans l'image suivante.

Si vous souhaitez connaître une analyse technique plus détaillée de ce module grabber.dll, Kremez a publié toutes les informations dans un blog sur le site Web Intel avancé.

Selon Kremez, ce module de test semble avoir été développé par les créateurs de TrickBot. La raison pour laquelle vous pensez que c'est parce qu'il est codé de la même manière que les autres modules. En outre, il estime également que les programmeurs de la menace testaient une nouvelle version et ont oublié de la supprimer lors de sa sortie.

Si vous voyez cet avertissement TrickBot, la première chose que Kremez recommande aux victimes est de déconnecter immédiatement leur ordinateur du réseau. Ensuite, la prochaine étape qu'ils doivent effectuer est une analyse avec leur logiciel de sécurité installé.

Une fois la menace supprimée de votre ordinateur, nous devons en faire plus. Les victimes doivent changer leurs mots de passe pour tout site, externe ou interne, dont les informations d'identification sont enregistrées dans le navigateur. De plus, nous devons également faire de même avec les mots de passe avec lesquels nous nous connectons à ce navigateur.