En ny utgivelse av skadevaren Trickbot ser ut til å være en testversjon av grabber.dll-modulen, som har som formål å stjele passord, skriver Bleeping Computer.
Når skadevaren lastes, åpnes det en advarsel i standardnettleseren til brukeren, som informerer om at programmet samler inn informasjon, og at man bør kontakte systemadministrator.
Microsoft til storaksjon mot omfattende skadevare-nettverk
Glemte å fjerne advarselen
Trickbot distribueres vanligvis via spam-mailer og skal egentlig spre seg på offerets maskin i stillhet, mens den laster ned forskjellige moduler med ulike formål.
Modulene kan blant annet stjele Active Directory-databaser, samle inn nettleser-passord og informasjonskapsler, stjele OpenSSH-nøkler og spre seg utover i et nettverk.
Til slutt gir gjerne Trickbot løsepengevirus som Ryuk og Conti tilgang til maskinen.
Det var en Reddit-bruker som i slutten av juni postet Trickbot-advarselen i forumet, med spørsmål om hva det var.
«Du ser denne meldingen fordi programmet ved navn grabber samlet noe informasjon fra nettleseren din. Hvis du ikke vet hva som skjer, er dette tidspunktet for å bli bekymret. Vennligst kontakt systemadmistratoren din for detaljer», står det – litt ugrammatisk – i advarselen.
For noen dager siden publiserte cybersikkerhetsselskapet Advanced Intel en analyse som slår fast med høy grad av sikkerhet at det altså skal være en testversjon av skadevaren som har blitt spredt ved en feil.
Advanced Intel-sjef Vitali Kremez har uttalt til Bleeping Computer at testmodulen ser ut til å ha blitt utviklet av Trickbot-utviklerne, fordi den er kodet på samme måte som de andre modulene. Han tror utviklerne testet ut en ny versjon, og glemte å fjerne advarselen.
150.000 elever rammet av løsepengevirus: Slo ut alle skolene i byen
