Malware TrickBot avisa que você está infectado para lhe enganar – Golpe

Todos os dias, milhares de dispositivos são infectados por malware, vírus e ransomware. O que não é comum é que o próprio malware avisa que você está infectado. E foi o que aconteceu com o TrickBot , que por engano de seus programadores avisa que você está infectado.

Como você pode imaginar, este é um erro grave do criador do malware, mas, ao mesmo tempo, também é positivo para nós, pois podemos eliminá-lo usando as ferramentas apropriadas. Os programadores do conhecido malware TrickBot cometeram um erro muito sério durante a programação. O erro é que eles se esqueceram de remover um módulo de teste que avisa as vítimas de que estão infectadas e que devem entrar em contato com o administrador.

A maneira como o TrickBot funciona é através de uma infecção por malware que geralmente é distribuída por e-mails de spam maliciosos. Uma vez instalado, a primeira coisa a fazer é executar silenciosamente no computador da vítima. Uma vez feito, o próximo passo será fazer o download de vários módulos que executam tarefas diferentes no computador infectado.

Esses módulos que foram instalados permitirão que o malware execute as seguintes ações:

  • Roubando o banco de dados dos Serviços do Active Directory de um domínio.
  • Colete senhas e cookies do navegador.
  • Roube chaves OpenSSH e permita que ela se espalhe lateralmente por uma rede.

No entanto, as coisas podem piorar porque sabemos que você pode fazer mais. O TrickBot encerrará seus ataques, permitindo o acesso a ransomware como Ryuk e Conti.

Os programadores do TrickBot cometeram um erro imperdoável

Vitali Kremez, da Advanced Intel, analisando uma versão recente do malware TrickBot, descobriu que os desenvolvedores da ameaça estão distribuindo por engano uma versão de teste do módulo grabber.dll que rouba senhas.

Uma vez instalado este módulo, o que ele faz é exibir um aviso no navegador padrão da vítima. Indica que o programa está coletando informações e que você solicita ao administrador do sistema mais detalhes. Aqui você tem uma recriação do que apareceria em suas telas.

Este caso que discutimos anteriormente não é um caso isolado. Um usuário do Reddit perguntou há pouco mais de quinze dias atrás, procurando uma solução para o seu problema, porque seu navegador Firefox o estava alertando sobre um programa chamado grabber.

Caso você não saiba, Grabber.dll é a senha do TrickBot e do módulo de roubo de cookies. Com isso, o que você está tentando fazer é coletar as credenciais e os cookies salvos dos navegadores Chrome, Edge, Internet Explorer e Firefox. Graças a essas credenciais e cookies roubados, os desenvolvedores podem usá-los para fazer login nas contas da vítima.

Pesquisa e recomendações de Kremez no TrickBot.

Kremez conseguiu extrair a seguinte documentação incorporada no módulo e que você pode ver na imagem a seguir.

Se você quiser conhecer uma análise técnica mais detalhada desse módulo grabber.dll, a Kremez publicou todas as informações em um blog no site da Intel Advanced.

Segundo Kremez, esse módulo de teste parece ter sido desenvolvido pelos criadores do TrickBot. A razão pela qual você pensa que isso ocorre é porque é codificado da mesma maneira que outros módulos. Além disso, ele também acredita que os programadores da ameaça estavam testando uma nova versão e esqueceram de excluí-la quando ela foi lançada.

Se você vir esse aviso do TrickBot, a primeira coisa que Kremez recomenda às vítimas é que elas desconectem imediatamente o computador da rede. Em seguida, o próximo passo a ser seguido é uma verificação com o software de segurança instalado.

Depois que a ameaça foi removida do seu computador, precisamos fazer mais. As vítimas devem alterar suas senhas para qualquer site, externo ou interno, cujas credenciais sejam salvas no navegador. Além disso, também devemos fazer o mesmo com as senhas com as quais efetuamos login no navegador.

05-08-2020 09:15:44