Os desenvolvedores do infame trojan bancário TrickBot codificaram acidentalmente um recurso que alerta os usuários infectados para sua presença em seus dispositivos.
Tradicionalmente, o malware do TrickBot é distribuído por meio de campanhas de phishing e opera furtivamente em uma máquina infectada, raspando credenciais, roubando carteiras de criptomoedas e abrindo a porta para ataques secundários.
Também foi descoberto recentemente que contém um mecanismo que verifica a resolução da tela da vítima para determinar se está sendo executada em uma máquina virtual , permitindo que os operadores dificultem as tentativas dos pesquisadores de analisar o malware.
No entanto, de acordo com o pesquisador de segurança Vitali Kremez, da Advanced Intel, os criadores do TrickBot circulam acidentalmente uma versão que envia uma mensagem de aviso aos usuários cujas credenciais foram roubadas, alertando-os para a infecção.
Malwares do TrickBot
Kremez acredita que o módulo “grabber” do TrickBot é responsável pelo alerta, projetado para extrair senhas e cookies salvos de navegadores da web populares, incluindo Chrome, Firefox, Internet Explorer e Edge.
Ao trabalhar como pretendido, o módulo permite que o TrickBot eleve furtivamente as credenciais de login e obtenha acesso às contas online da vítima – incluindo mídias sociais, email, varejistas online etc. – mas, nesse caso, relata acidentalmente a atividade maliciosa à vítima.
“Aviso – você vê esta mensagem porque o programa chamado grabber coletou algumas informações do seu navegador”, lê o alerta pop-up.
“Se você não sabe o que está acontecendo, é hora de começar a se preocupar (sic). Por favor, pergunte ao administrador do sistema para obter detalhes. ”
Segundo Kremez, o módulo é “codificado da mesma maneira” que o malware TrickBot mais amplo, sugerindo que os mesmos desenvolvedores são responsáveis. A única explicação para essa excentricidade, ele afirma, é que os criadores esqueceram de remover a funcionalidade de autorrelato quando uma nova compilação de teste foi lançada.
Os usuários que receberam a mensagem de erro são aconselhados a se desconectar da Internet e verificar sua máquina usando software antivírus. Após a remoção de qualquer malware, os usuários devem alterar todas as senhas das contas conectadas pelo navegador afetado.