بدافزار مخرب TrickBot پس از آلودگی سیستم کاربران، به اشتباه یک ماژول متنی را بر روی سیستم آنها باقی گذاشته که به قربانیان خود هشدار میدهد سیستم آنها آلوده شده و باید با مدیر شبکه تماس بگیرند!
TrickBot یک آلودگی بدافزاری است که معمولاً از طریق ایمیلهای مخرب یا هرزنامه ها منتشر میشود. این بدافزار پس از نصب در سیستم قربانی، به صورت مخفیانه اجرا شده و ماژولهای مختلفی را دانلود میکند. این ماژول ها کارهای متفاوتی را بر روی رایانه آلوده انجام میدهند. به عنوان مثال، به بدافزار امکان میدهند تا پایگاه داده سرویسهای اکتیو دایرکتوری را به سرقت ببرد و کلمه های عبور، کوکیهای مرورگر و کلیدهای OpenSSH را جمعآوری کرده و حتی در کل شبکه منتشر شود.
بدتر از این هم اینکه TrickBot با فراهم کردن امکان دسترسی به عوامل باجافزارهایی همچون Ryuk و Conti می تواند به مهاجمان در اجرای سایر حمله ها نیز کمک کند.
اشتباه توسعه دهندگان TrickBot
در نسخه اخیر بدافزار TrickBot که Vitali Kremez از شرکت “Advanced Intel” آن را مورد تجزیه و تحلیل قرار داده است، طراحان این بدافزار به اشتباه یک نسخه آزمایشی از ماژول grabber.dll خودشان که مربوط به سرقت کلمه عبور است را منتشر کردهاند.
این ماژول پس از بارگذاری، هشداری را در مرورگر پیش فرض کاربر نمایش میدهد که به وی اعلام میکند این نرمافزار در حال جمعآوری اطلاعات است و کاربر باید درباره آن از مدیر سیستم پرس و جو کند.
Grabber.dll در واقع ماژول سرقت کلمه عبور و کوکی مربوط به بدافزار TrickBot است که سعی میکند اطلاعات جمعآوری شده از مرورگرهایی مثل گوگل کروم، اج، اینترنت اکسپلورر و فایرفاکس را استخراج کند که بعداً از این اطلاعات برای ورود به حسابهای کاربری افراد قربانی استفاده میشود.
Kremez تحلیلهای دقیقتر در مورد این ماژول را در یک پست وبلاگی در وب سایت Advanced Intel منتشر کرده است. او به وب سایت BleepingComputer گفته که ظاهراً این ماژول آزمایشی توسط توسعه دهندگان TrickBot طراحی شده چون کدنویسی آن مثل بقیه بخشهای این ماژول انجام شده است. وی احتمال می دهد که عوامل این بدافزار، در حال آزمایش یک نسخه جدید بوده و فراموش کرده اند قبل از اجرای حمله، این ماژول را حذف کنند.
Kremez به کاربرانی که این هشدار را مشاهده میکنند توصیه کرده که بلافاصله اتصال رایانه شان را از شبکه قطع کرده و سپس با نرمافزار ضدویروس نصب شده بر روی رایانه خود، یک اسکن کامل را در خصوص شناسایی بدافزارها انجام دهند.
کاربران باید پس از پاک سازی سیستم، کلمه عبورشان در وب سایتهای مختلف را که در مرورگر ذخیره شده است یا به تازگی با آنها لاگین کرده اند را تغییر دهند. همچنین اگر قربانی، درون یک شبکه سازمانی باشد ممکن است سایر سیستمها نیز آلوده شده باشند؛ در نتیجه باید یک بررسی کامل از کل آن شبکه انجام شود.
منبع: bleepingcomputer