- Il confronto
- Tutorial
- Questo malware dannoso dannoso accidentalmente famigerato sui suoi stessi creatori
Gli sviluppatori del famoso trojan bancario TrickBot hanno accidentalmente codificato una funzione che avvisa gli utenti infetti della sua presenza sul proprio dispositivo. Tradizionalmente, il malware TrickBot viene distribuito tramite campagne di phishing e funziona di nascosto su una macchina infetta, sottraendo credenziali, rubando portafogli di criptovaluta e aprendo la porta ad attacchi secondari. Recentemente è stato inoltre scoperto che contiene un meccanismo che controlla la risoluzione dello schermo della vittima per determinare se è in esecuzione in una macchina virtuale, consentendo agli operatori di ostacolare i tentativi dei ricercatori di analizzare il malware. Tuttavia, secondo il ricercatore di sicurezza Vitali Kremez di Advanced Intel, i creatori di TrickBot rilasciano accidentalmente una versione che invia un messaggio di avviso agli utenti le cui credenziali sono state rubate, avvisandoli dell'infezione.
Malware TrickBot
Kremez ritiene che il modulo di acquisizione TrickBot sia responsabile dell'avviso, progettato per eliminare password e cookie salvati dai browser Web più diffusi, tra cui Chrome, Firefox, Internet Explorer ed Edge. Quando funziona come previsto, il modulo consente a TrickBot di registrare di nascosto le informazioni di accesso e accedere agli account online della vittima, inclusi social media, e-mail, rivenditori online, ecc. - ma in questo caso segnali accidentalmente un'attività dannosa alla vittima. "Attenzione: vedi questo messaggio perché il programma chiamato grabber ha raccolto informazioni dal tuo browser", si legge nell'avviso pop-up. "Se non sai cosa sta succedendo, ora è il momento di iniziare a preoccuparti (sic)." Chiedi i dettagli al tuo amministratore di sistema. Secondo Kremez, il modulo è "codificato allo stesso modo" del più grande malware TrickBot, suggerendo che i responsabili siano gli stessi sviluppatori. Sostiene che l'unica spiegazione per questa eccentricità è che i creatori hanno dimenticato di rimuovere la funzione di autovalutazione quando pubblicare una nuova versione di prova. Si consiglia agli utenti che hanno ricevuto il messaggio di errore di disconnettersi da Internet ed eseguire la scansione del proprio computer utilizzando un software antivirus. Dopo aver rimosso il malware, gli utenti devono modificare tutte le password degli account collegati tramite il browser interessato. Tramite il computer in modalità di sospensione.