هشدار اشتباه TrickBot به قربانیان این بدافزار

بدافزار مخرب TrickBot پس از آلودگی سیستم کاربران، به اشتباه یک ماژول متنی را بر روی سیستم آنها باقی گذاشته که به قربانیان خود هشدار می‌دهد سیستم آنها آلوده شده و باید با مدیر شبکه تماس بگیرند!

TrickBot یک آلودگی بدافزاری است که معمولاً از طریق ایمیل‌های مخرب یا هرزنامه ها منتشر می‌شود. این بدافزار پس از نصب در سیستم قربانی، به صورت مخفیانه اجرا شده و ماژول‌های مختلفی را دانلود می‌کند. این ماژول ها کارهای متفاوتی را بر روی رایانه آلوده انجام می‌دهند. به عنوان مثال، به بدافزار امکان می‌دهند تا پایگاه داده سرویس‌های اکتیو دایرکتوری را به سرقت ببرد و کلمه های عبور، کوکی‌های مرورگر و کلیدهای OpenSSH را جمع‌آوری کرده و حتی در کل شبکه منتشر شود.

بدتر از این هم اینکه TrickBot با فراهم کردن امکان دسترسی به عوامل باج‌افزارهایی همچون Ryuk و Conti می تواند به مهاجمان در اجرای سایر حمله ها نیز کمک کند.

 

اشتباه توسعه دهندگان TrickBot

در نسخه اخیر بدافزار TrickBot که Vitali Kremez از شرکت “Advanced Intel” آن را مورد تجزیه و تحلیل قرار داده است، طراحان این بدافزار به اشتباه یک نسخه آزمایشی از ماژول grabber.dll خودشان که مربوط به سرقت کلمه عبور است را منتشر کرده‌اند.

این ماژول پس از بارگذاری، هشداری را در مرورگر پیش فرض کاربر نمایش می‌دهد که به وی اعلام می‌کند این نرم‌افزار در حال جمع‌آوری اطلاعات است و کاربر باید درباره آن از مدیر سیستم پرس و جو کند.

 

هشدار اشتباه TrickBot به قربانیان این بدافزار
هشدار نمایش داده شده توسط ماژول grabber بدافزار TrickBot

 

Grabber.dll در واقع ماژول سرقت کلمه عبور و کوکی مربوط به بدافزار TrickBot است که سعی می‌کند اطلاعات جمع‌آوری شده از مرورگرهایی مثل گوگل کروم، اج، اینترنت اکسپلورر و فایرفاکس را استخراج کند که بعداً از این اطلاعات برای ورود به حساب‌های کاربری افراد قربانی استفاده می‌شود.

Kremez تحلیل‌های دقیق‌تر در مورد این ماژول را در یک پست وبلاگی در وب سایت Advanced Intel منتشر کرده است. او به وب سایت BleepingComputer گفته که ظاهراً این ماژول آزمایشی توسط توسعه دهندگان TrickBot طراحی شده چون کدنویسی آن مثل بقیه بخش‌های این ماژول انجام شده است. وی احتمال می دهد که عوامل این بدافزار، در حال آزمایش یک نسخه جدید بوده و فراموش کرده اند قبل از اجرای حمله، این ماژول را حذف کنند.

Kremez به کاربرانی که این هشدار را مشاهده می‌کنند توصیه کرده که بلافاصله اتصال رایانه شان را از شبکه قطع کرده و سپس با نرم‌افزار ضدویروس نصب شده بر روی رایانه خود، یک اسکن کامل را در خصوص شناسایی بدافزارها انجام دهند.

کاربران باید پس از پاک سازی سیستم، کلمه عبورشان در وب سایت‌های مختلف را که در مرورگر ذخیره شده است یا به تازگی با آنها لاگین کرده اند را تغییر دهند. همچنین اگر قربانی، درون یک شبکه سازمانی باشد ممکن است سایر سیستم‌ها نیز آلوده شده باشند؛ در نتیجه باید یک بررسی کامل از کل آن شبکه انجام شود.

 

منبع: bleepingcomputer

خروج از نسخه موبایل