TrickBot là một mã độc khá phổ biến trong những năm gần đây. Nó nguy hiểm ở chỗ sau khi lây lan sẽ âm thầm chạy trên máy tính của nạn nhân, tự tải xuống các mô-đun khác nhau để tiến hành đánh cắp dữ liệu và những hành vi xấu khác.
TrickBot thường được phát tán qua các email spam có chứa các đường link hoặc tập tin xấu độc. Khi được cài đặt, mã độc này sẽ bí mật chạy trên máy tính của nạn nhân, tự tải xuống các thành phần khác để phục vụ những mục đích xấu khác nhau.
Mã độc TrickBot thường xuyên tập trung khai thác cơ sở dữ liệu Active Directory Services của tên miền, thu thập mật khẩu và cookie của trình duyệt, đánh cắp các khóa OpenSSH và lây lan ngang qua mạng. Tệ hơn, khi kết thúc cuộc tấn công của mình TrickBot còn cấp quyền truy cập máy tính của nạn nhân cho các ransomware như Ryuk và Conti.
Tuy nhiên, mới đây các nhà nghiên cứu đã phát hiện ra rằng TrickBot đang gặp một lỗi khá sơ đẳng. Theo nhà phân tích Vitali Kremez, trong một phiên bản phát hành gần nhất của TrickBot có chứa mô-đun thử nghiệm Grabber.dll với chức năng đánh cắp mật khẩu của người dùng.
Khi khởi chạy, mô-đun này hiển thị cảnh báo trong trình duyệt mặc định cho nạn nhân biết rằng nó đang thu thập thông tin và nạn nhân nên hỏi quản trị viên hệ thống của mình.
Theo phân tích của Kremez, nó đúng là một sản phẩm của đội phát triển TrickBot. Bên cạnh đó, Kremez cho rằng có thể TrickBot đang thử nghiệm Grabber và vô tình phát hành nó cùng phiên bản chính thức. Hiện chưa rõ mô-đun này đã hoàn thiện chứ năng thu thập mật khẩu hay chưa nhưng nó đã cho nạn nhân biết rằng máy tính của họ đang bị nhiễm TrickBot.
Kremez khuyên những ai thấy cảnh báo này nên ngay lập tức ngắt kết nối mạng sau đó dùng phần mềm bảo mật để quét mã độc. Khi máy tính đã được quét sạch mã độc, người dùng nên đổi mật khẩu tất cả các tài khoản của họ.
Nếu bạn đang sử dụng máy tính tại công ty, nên báo cho người quản lý hệ thống mạng để tiến hành quét toàn bộ hệ thống.