Les développeurs du célèbre cheval de Troie bancaire TrickBot ont accidentellement codé une fonctionnalité qui avertit les utilisateurs infectés de sa présence sur leur appareil. Traditionnellement, les logiciels malveillants TrickBot sont distribués via des campagnes de phishing et s'exécutent furtivement sur une machine infectée, récupérant les informations d'identification, volant les portefeuilles de crypto-monnaie et ouvrant la porte à des attaques secondaires. Il a également été récemment découvert qu'il contenait un mécanisme qui vérifie la résolution de l'écran de la victime pour déterminer s'il s'exécute sur une machine virtuelle, permettant ainsi aux opérateurs d'entraver les tentatives des chercheurs d'analyser le malware. Cependant, selon le chercheur en sécurité Vitali Kremez d'Advanced Intel, les créateurs de TrickBot ont accidentellement publié une version qui envoie un message d'avertissement aux utilisateurs dont les informations d'identification ont été volées, les alertant de l'infection.
Logiciel malveillant TrickBot
Kremez pense que le module de capture TrickBot est responsable de l'alerte, conçue pour supprimer les mots de passe et les cookies enregistrés des navigateurs Web populaires, notamment Chrome, Firefox, Internet Explorer et Edge. Lorsqu'il fonctionne comme prévu, le module permet à TrickBot d'enregistrer furtivement les informations de connexion et d'accéder aux comptes en ligne de la victime, notamment les réseaux sociaux, les e-mails, les détaillants en ligne, etc. - mais dans ce cas, vous signalez accidentellement une activité malveillante à la victime. "Avertissement : vous voyez ce message car le programme appelé grabber a collecté des informations à partir de votre navigateur", indique l'alerte contextuelle. "Si vous ne savez pas ce qui se passe, c'est le moment de commencer à vous inquiéter (sic)." Demandez plus de détails à votre administrateur système. Selon Kremez, le module est "codé de la même manière" que le plus gros malware TrickBot, ce qui suggère que les mêmes développeurs sont responsables. Il affirme que la seule explication de cette excentricité est que les créateurs ont oublié de supprimer la fonction d'auto-évaluation lorsque publier une nouvelle version d'essai. Il est recommandé aux utilisateurs qui ont reçu le message d'erreur de se déconnecter d'Internet et d'analyser leur ordinateur à l'aide d'un logiciel antivirus. Après avoir supprimé le logiciel malveillant, les utilisateurs doivent modifier tous les mots de passe des comptes connectés via le navigateur concerné. Via l'ordinateur de veille