Новый образец TrickBot прокололся — предупреждает жертв о заражении

Новый образец TrickBot прокололся — предупреждает жертв о заражении

Новый образец TrickBot прокололся — предупреждает жертв о заражении

Новый модуль, который операторы TrickBot внедрили в своё детище, содержит странный баг — уведомляет жертв о заражении их компьютера. Изначально же этот модуль предназначался для кражи пользовательских данных.

Первыми на новый образец вредоносной программы наткнулись исследователи из команды MalwareHunterTeam. В семпле нашли новый модуль «module 0.6.8», активирующий библиотеку «grabber.dll».

Задача новой составляющей трояна — записывать действия пользователей в браузере, чтобы выкрасть пароли, хранящиеся в Google Chrome, Internet Explorer, Mozilla Firefox и Microsoft Edge.

Помимо этого, вредоносная библиотека перехватывает файлы cookies, но эти функциональные возможности и раньше можно было наблюдать у TrickBot.

Так или иначе, новый модуль, внедрённый в печально известный троян, имеет один неприятный для злоумышленников побочный эффект — он сразу же уведомляет жертв о заражении их системы.

Конечно, такой подход тотчас раскрывает все карты атакующих, которые, напомним, с помощью TrickBot стараются обеспечить незаметную передачу всей украденной информации в течение максимально длинного периода времени.

Виталий Кремец, проанализировавший новый семпл, обратил внимание на то, что это может быть тестовый модуль, не до конца проработанный киберпреступниками.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Незакрытые уязвимости в PARTS SOFT CMS: в зоне риска 5000 хостов

В CMS-системе российского разработчика PARTS SOFT присутствуют две уязвимости, которые в комбинации представляют серьезную угрозу для интернет-магазинов, построенных на этой платформе.

Компания «Сайбер ОК», чей специалист выявил проблемы, опубликовала предупреждение в своем телеграм-канале, так как вендор за четыре месяца так и не удосужился выпустить патчи. В интернете обнаружено более 5 тыс. веб-сервисов, использующих PARTS SOFT CMS.

Согласно алерту, уязвимость BDU:2025-05287 (7,5 балла CVSS) позволяет получить ID пользователей перебором. Данная возможность возникла из-за разницы в ответах сервера и облегчает задачу фишерам и авторам брутфорс-атак по методу password spraying («распыление паролей»).

Проблема BDU:2025-05286 (6,1 балла) классифицируется как CSRF, межсайтовая фальсификация запросов. Причиной ее появления является неадекватная проверка подлинности входящих сообщений; эксплойт осуществляется передачей на сервер вредоносных данных по методу HTTP POST.

В отсутствие патчей админам рекомендуется ограничить интенсивность обращений к конечным точкам авторизации на уровне WAF или веб-сервера и мониторить соблюдение лимитов по логам, блокируя аномалии — такие, как многочисленные попытки входа с одного IP.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru