Los desarrolladores del famoso troyano bancario TrickBot codificaron accidentalmente una característica que advierte a los usuarios infectados de su presencia en su dispositivo.
Tradicionalmente, el malware TrickBot se distribuye a través de campañas de phishing y se ejecuta sigilosamente en una máquina infectada, raspando credenciales, robando billeteras de criptomonedas y abriendo la puerta a ataques secundarios.
También se descubrió recientemente que contenía un mecanismo que verifica la resolución de la pantalla de la víctima para determinar si se está ejecutando en una máquina virtual, lo que permite a los operadores obstaculizar los intentos de los investigadores para analizar el malware.
Sin embargo, según el investigador de seguridad Vitali Kremez de Advanced Intel, los creadores de TrickBot lanzan accidentalmente una versión que envía un mensaje de advertencia a los usuarios cuyas credenciales han sido robadas, alertándolos de la infección.
มัลแวร์ทริกบอท
Kremez cree que el módulo de captura de TrickBot es responsable de la alerta, diseñada para eliminar las contraseñas y las cookies guardadas de los navegadores web populares, incluidos Chrome, Firefox, Internet Explorer y Edge.
Cuando funciona según lo previsto, el módulo permite a TrickBot registrar sigilosamente la información de inicio de sesión y acceder a las cuentas en línea de la víctima, incluidas las redes sociales, correos electrónicos, minoristas en línea, etc. - pero en este caso, accidentalmente informa actividad maliciosa a la víctima.
"Advertencia: está viendo este mensaje porque el programa llamado grabber ha recopilado información de su navegador", se lee en la alerta emergente.
"Si no sabes lo que está pasando, ahora es el momento de comenzar a preocuparte (sic)". Solicite detalles al administrador de su sistema. "
Según Kremez, el módulo está "codificado de la misma manera" que el malware TrickBot más grande, lo que sugiere que los mismos desarrolladores son responsables. Afirma que la única explicación de esta excentricidad es que los creadores olvidaron eliminar la función de autoevaluación al publicar una nueva versión de prueba.
Se recomienda a los usuarios que han recibido el mensaje de error que se desconecten de Internet y escaneen su máquina utilizando un software antivirus. Después de eliminar el malware, los usuarios deben cambiar todas las contraseñas de las cuentas conectadas a través del navegador afectado.
A través de la computadora del sueño