SIKKERHET

Glemte å endre testversjonen av skadevaren – advarer ofrene sine ved en feil

En ny utgivelse av skadevaren Trickbot ser ut til å være en testversjon hvor utviklerne har glemt å fjerne en advarsel til ofrene.

En ny utgivelse av skadevaren Trickbot ser ut til å være en testversjon hvor utviklerne har glemt å fjerne en advarsel til ofrene. 
En ny utgivelse av skadevaren Trickbot ser ut til å være en testversjon hvor utviklerne har glemt å fjerne en advarsel til ofrene.  Montasje: Colourbox/Reddit
15. juli 2020 - 11:42

En ny utgivelse av skadevaren Trickbot ser ut til å være en testversjon av grabber.dll-modulen, som har som formål å stjele passord, skriver Bleeping Computer.

Når skadevaren lastes, åpnes det en advarsel i standard­nettleseren til brukeren, som informerer om at programmet samler inn informasjon, og at man bør kontakte systemadministrator. 

Microsoft har gått til aksjon mot Trickbot.
Les også

Microsoft til storaksjon mot omfattende skadevare-nettverk

Glemte å fjerne advarselen

Trickbot distribueres vanligvis via spam-mailer og skal egentlig spre seg på offerets maskin i stillhet, mens den laster ned forskjellige moduler med ulike formål. 

Modulene kan blant annet stjele Active Directory-databaser, samle inn nettleser-passord og informasjonskapsler, stjele OpenSSH-nøkler og spre seg utover i et nettverk.

Til slutt gir gjerne Trickbot løsepengevirus som Ryuk og Conti tilgang til maskinen. 

Slik ser advarselen ut. <i>Skjermbilde:  Reddit</i>
Slik ser advarselen ut. Skjermbilde:  Reddit

Det var en Reddit-bruker som i slutten av juni postet Trickbot-advarselen i forumet, med spørsmål om hva det var.

«Du ser denne meldingen fordi programmet ved navn grabber samlet noe informasjon fra nettleseren din. Hvis du ikke vet hva som skjer, er dette tidspunktet for å bli bekymret. Vennligst kontakt systemadmistratoren din for detaljer», står det – litt ugrammatisk – i advarselen.

For noen dager siden publiserte cybersikkerhetsselskapet Advanced Intel en analyse som slår fast med høy grad av sikkerhet at det altså skal være en testversjon av skadevaren som har blitt spredt ved en feil. 

Advanced Intel-sjef Vitali Kremez har uttalt til Bleeping Computer at testmodulen ser ut til å ha blitt utviklet av Trickbot-utviklerne, fordi den er kodet på samme måte som de andre modulene. Han tror utviklerne testet ut en ny versjon, og glemte å fjerne advarselen.

Baltimore er det siste offeret for den skadelige utpressingsvaren Ryuk.
Les også

150.000 elever rammet av løsepengevirus: Slo ut alle skolene i byen

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.