Operator malware TrickBot telah menggunakan metode baru untuk memeriksa resolusi layar sistem korban untuk menghindari deteksi perangkat lunak keamanan dan analisis oleh para peneliti.
Baru-baru ini, TheAnalyst – seorang pemburu ancaman dan anggota kelompok riset keamanan Cryptolaemus, menemukan bahwa lampiran HTML dari kampanye malspam TrickBot berperilaku berbeda di mesin nyata daripada di mesin virtual.
Peneliti mengatakan kepada BleepingComputer bahwa dia melihat taktik yang digunakan beberapa kali dalam berbagai kampanye phishing sebagai sarana untuk menghindari penyelidik.
Script menentukan apakah pengguna yang mendarat di halaman phishing menggunakan mesin virtual atau fisik dengan memeriksa apakah browser web menggunakan perender perangkat lunak seperti SwiftShader, LLVMpipe, atau VirtualBox, yang biasanya berarti lingkungan virtual.
Skrip juga memeriksa apakah kedalaman warna layar pengunjung kurang dari 24-bit, atau jika tinggi dan lebar layar kurang dari 100 piksel.
TrickBot tidak menggunakan skrip yang sama seperti di atas tetapi mengandalkan taktik yang sama untuk mendeteksi kotak pasir peneliti. Namun, ini adalah pemutaran perdana bagi geng untuk menggunakan skrip seperti itu dalam lampiran HTML.
Ini mungkin juga pertama kalinya malware menggunakan lampiran untuk menjalankan pemeriksaan resolusi layar daripada melakukannya di halaman arahan yang menyajikan malware yang dapat dieksekusi.
Selengkapnya: Bleeping Computer
