Cyber Attack

SmokeLoader Menyebar Secara Aktif dengan Mengeksploitasi Kerentanan Lama

August 12, 2022 by Mally

Kerentanan yang tidak ditambal selalu menjadi titik manis bagi penjahat dunia maya untuk melancarkan serangan. Salah satu insiden yang menggambarkan keadaan menyedihkan dari sistem yang rentan telah menjadi perhatian akhir-akhir ini.

Para peneliti telah melihat eksploitasi massal dari dua kelemahan—CVE-2017-0199 dan CVE-2017-11882—yang berusia hampir lima tahun. Meskipun tambalan tersedia untuk kedua kekurangan, mereka terus dieksploitasi. Pelaku ancaman memanfaatkan kerentanan ini untuk mendistribusikan malware SmokeLoader.

SmokeLoader, yang tersedia di pasar dalam satu atau lain bentuk sejak 2011, terutama digunakan untuk mendistribusikan keluarga malware lain seperti TrickBot.

Modus operandi

Rantai infeksi dimulai dengan email phishing yang mendesak penerima untuk meninjau pesanan pembelian dan memeriksa tanggal yang terkait dengan pengiriman.
Email ini berasal dari alamat email web yang dihosting oleh perusahaan telekomunikasi besar di Taiwan dan menyertakan file excel seperti ‘Pesanan Pembelian FG-20220629.xlsx.’
File-file ini berisi eksploitasi untuk kerentanan dalam format terenkripsi.
Serangan itu juga memanfaatkan file EXE dan DLL untuk mem-bypass sistem keamanan email.

Sementara Fortinet menemukan bahwa sampel terbaru yang dijatuhkan oleh SmokeLoader adalah trojan zgRAT, ada juga laporan yang menjelaskan distribusi malware Amadey.

Menurut peneliti AhnLab, SmokeLoader digunakan dalam kampanye baru-baru ini yang menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Setelah celah perangkat lunak ini dibuka, mereka menyebabkan pengunduhan SmokeLoader yang akhirnya mendistribusikan versi baru malware Amadey.

Sementara CVE-2017-0199 dan CVE-2017-11882 ditemukan pada tahun 2017, mereka masih aktif dieksploitasi di berbagai kampanye lainnya. Ini menunjukkan bahwa pembuat malware mengandalkan kerentanan penuaan yang masih harus ditambal secara efektif di berbagai perangkat lunak. Sementara itu, kemunculan kembali SmokeLoader, menunjukkan bahwa penetes malware ada di sini untuk waktu yang lama.

Sumber: cyware

Cisco diretas oleh geng ransomware Yanluowang, 2.8GB diduga dicuri

August 12, 2022 by Mally

Cisco hari ini mengkonfirmasi bahwa kelompok ransomware Yanluowang melanggar jaringan perusahaannya pada akhir Mei dan bahwa aktor tersebut mencoba memeras mereka di bawah ancaman membocorkan file curian secara online.

Perusahaan mengungkapkan bahwa penyerang hanya dapat memanen dan mencuri data yang tidak sensitif dari folder Box yang ditautkan ke akun karyawan yang disusupi.

“Pada 10 Agustus, aktor jahat menerbitkan daftar file dari insiden keamanan ini ke web gelap. Kami juga telah menerapkan langkah-langkah tambahan untuk melindungi sistem kami dan membagikan detail teknis untuk membantu melindungi komunitas keamanan yang lebih luas.”

Pelaku ancaman Yanluowang memperoleh akses ke jaringan Cisco menggunakan kredensial curian karyawan setelah membajak akun Google pribadi karyawan yang berisi kredensial yang disinkronkan dari browser mereka.

Penyerang meyakinkan karyawan Cisco untuk menerima pemberitahuan push multi-factor authentication (MFA) melalui kelelahan MFA dan serangkaian serangan phishing suara canggih yang diprakarsai oleh geng Yanluowang yang meniru organisasi pendukung tepercaya.

Kelelahan MFA adalah taktik serangan di mana pelaku ancaman mengirimkan aliran konstan permintaan otentikasi multi-faktor untuk mengganggu target dengan harapan bahwa mereka akhirnya akan menerima satu untuk menghentikan mereka dari yang dihasilkan.

Pelaku ancaman akhirnya menipu korban untuk menerima salah satu notifikasi MFA dan mendapatkan akses ke VPN dalam konteks pengguna yang ditargetkan.

Begitu mereka mendapatkan pijakan di jaringan perusahaan perusahaan, operator Yanluowang menyebar secara lateral ke server Citrix dan pengontrol domain.

Setelah mendapatkan admin domain, mereka menggunakan alat enumerasi seperti ntdsutil, adfind, dan secretdump untuk mengumpulkan lebih banyak informasi dan memasang serangkaian muatan ke sistem yang disusupi, termasuk malware pintu belakang.

Pada akhirnya, Cisco mendeteksi dan mengusir penyerang dari lingkungannya, tetapi mereka terus mencoba untuk mendapatkan kembali akses selama beberapa minggu berikutnya.

Untuk membantu admin jaringan dan profesional keamanan mendeteksi malware yang digunakan dalam serangan, Cisco membuat dua deteksi ClamAV baru untuk pintu belakang dan eksploitasi Windows yang digunakan untuk peningkatan hak istimewa.

Menangkan.Mengeksploitasi.Kolobko-9950675-0
Menangkan.Pintu Belakang.Kolobko-9950676-0

Sementara Cisco memberikan beberapa informasi tentang pintu belakang dan bagaimana itu digunakan untuk mengeksekusi perintah dari jarak jauh, tulisan mereka tidak menyebutkan info tentang eksploit yang dapat dieksekusi yang ditemukan.

Namun, menurut deteksi di VirusTotal, eksploitasinya adalah untuk CVE-2022-24521, kerentanan Windows Common Log File System Driver Elevation of Privilege, yang dilaporkan oleh NSA dan CrowdStrike ke Microsoft dan ditambal pada April 2022.

Peretas mengklaim mencuri data dari Cisco
Pekan lalu, aktor ancaman di balik peretasan Cisco mengirim email ke BleepingComputer daftar direktori file yang diduga dicuri selama serangan itu.

Pelaku pengancam mengaku telah mencuri data sebesar 2,75GB yang terdiri dari sekitar 3.100 file. Banyak dari file-file ini adalah perjanjian non-disclosure, dump data, dan gambar teknik.

Pelaku ancaman juga mengirim dokumen NDA yang disunting yang dicuri dalam serangan tersebut ke BleepingComputer sebagai bukti serangan dan “petunjuk” bahwa mereka melanggar jaringan Cisco dan mengekstrak file.

Dokumen bukti pelanggaran Cisco (BleepingComputer)

Hari ini, pemeras mengumumkan pelanggaran Cisco di situs kebocoran data mereka dan menerbitkan daftar direktori yang sama yang sebelumnya dikirim.

Cisco juga mengatakan bahwa, meskipun geng Yanluowang dikenal karena mengenkripsi file korban mereka, mereka tidak menemukan bukti muatan ransomware selama serangan tersebut.

Geng Yanluowang juga mengklaim baru-baru ini melanggar sistem pengecer Amerika Walmart yang membantah serangan itu, mengatakan kepada BleepingComputer bahwa mereka tidak menemukan bukti serangan ransomware.

Pembaruan: Menambahkan lebih banyak info tentang aktivitas Yanluowang dalam jaringan perusahaan Cisco.
Pembaruan 8/11/22: Menambahkan info tentang deteksi ClamAV dan mengeksploitasi executable yang digunakan dalam serangan.

Sumber: Bleeping Computer

Twilio mengungkapkan pelanggaran data yang berdampak pada pelanggan dan karyawan

August 10, 2022 by Mally

Perusahaan komunikasi cloud Twilio mengatakan beberapa data pelanggannya diakses oleh penyerang yang melanggar sistem internal setelah mencuri kredensial karyawan dalam serangan SMS phishing.

“Pada 4 Agustus 2022, Twilio mengetahui akses tidak sah ke informasi terkait sejumlah akun pelanggan Twilio melalui serangan rekayasa sosial canggih yang dirancang untuk mencuri kredensial karyawan,” kata Twilio akhir pekan lalu.

“Para penyerang kemudian menggunakan kredensial yang dicuri untuk mendapatkan akses ke beberapa sistem internal kami, di mana mereka dapat mengakses data pelanggan tertentu.”

Perusahaan juga mengungkapkan penyerang memperoleh akses ke sistemnya setelah menipu dan mencuri kredensial dari beberapa karyawan yang ditargetkan dalam insiden phishing.

Untuk melakukan itu, mereka meniru departemen TI Twilio, meminta mereka untuk mengklik URL yang berisi kata kunci “Twilio,” “Okta,” dan “SSO” yang akan mengarahkan mereka ke klon halaman masuk Twilio.

Pesan SMS phishing memancing karyawan Twilio untuk mengklik tautan yang disematkan dengan memperingatkan mereka bahwa kata sandi mereka telah kedaluwarsa atau dijadwalkan untuk diubah.

Direktur Komunikasi EMEA Twilio Katherine James menolak untuk memberikan informasi lebih lanjut ketika ditanya berapa banyak karyawan yang akun mereka disusupi dalam serangan phishing dan berapa banyak pelanggan yang terpengaruh oleh pelanggaran tersebut, dengan mengatakan perusahaan “tidak memiliki komentar tambahan untuk diberikan saat ini di luar apa yang ada. diposting di blog.”

Perusahaan belum mengidentifikasi penyerang, tetapi bekerja dengan penegak hukum sebagai bagian dari penyelidikan yang sedang berlangsung.

Twilio mencabut akun karyawan yang dikompromikan selama serangan untuk memblokir akses penyerang ke sistemnya dan telah mulai memberi tahu pelanggan yang terpengaruh oleh insiden ini.

Perusahaan juga mengungkapkan pada Mei 2021 bahwa itu dipengaruhi oleh serangan rantai pasokan Codecov tahun lalu di mana pelaku ancaman memodifikasi alat Codecov Bash Uploader yang sah untuk mencuri kredensial, kunci rahasia, dan token pengguna dari pelanggan Codecov.

Dengan lebih dari 5.000 karyawan di 26 kantor di 17 negara, Twillio menyediakan API suara, teks, obrolan, video, dan email yang dapat diprogram yang digunakan oleh lebih dari 10 juta pengembang dan 150.000 bisnis untuk membangun platform keterlibatan pelanggan.

Twilio juga mengakuisisi Authy pada Februari 2015, penyedia otentikasi dua faktor (2FA) yang populer untuk pengguna akhir, pengembang, dan perusahaan dengan jutaan pengguna di seluruh dunia.

Sumber: Bleeping Computer

UK NHS mengalami pemadaman setelah serangan siber pada penyedia layanan

August 10, 2022 by Mally

Layanan darurat National Health Service (NHS) 111 Inggris dipengaruhi oleh pemadaman yang signifikan dan berkelanjutan yang dipicu oleh serangan siber yang menghantam sistem penyedia layanan terkelola Inggris (MSP) Advanced.

Solusi manajemen pasien klien Adastra Advanced, yang digunakan oleh 85% dari layanan NHS 111, telah mengalami pemadaman besar bersama dengan beberapa layanan lain yang disediakan oleh MSP, menurut halaman status.

Publik Inggris disarankan untuk mengakses layanan darurat NHS 111 menggunakan platform online hingga insiden tersebut diselesaikan.

Sementara akses publik ke halaman status Advanced sekarang diblokir oleh formulir login yang memungkinkan akses hanya ke pelanggan dan karyawan, Chief Operating Officer Advanced Simon Short mengkonfirmasi bahwa insiden itu disebabkan oleh serangan siber yang terdeteksi pada Kamis pagi.

“Masalah keamanan diidentifikasi kemarin, yang mengakibatkan hilangnya layanan,” kata Short dalam sebuah pernyataan yang dibagikan kepada BBC.

“Kami dapat mengonfirmasi bahwa insiden tersebut terkait dengan serangan siber dan sebagai tindakan pencegahan, kami segera mengisolasi semua lingkungan kesehatan dan perawatan kami.

“Intervensi awal dari Tim Tanggap Insiden kami mengatasi masalah ini ke sejumlah kecil server yang mewakili 2% dari infrastruktur Kesehatan & Perawatan kami.”

Meskipun tidak ada rincian yang diberikan mengenai sifat serangan siber, berdasarkan kata-katanya, kemungkinan ini adalah ransomware atau serangan pemerasan data.

Advanced menyediakan perangkat lunak bisnis untuk lebih dari 22.000 pelanggan global di berbagai vertikal industri, mulai dari perawatan kesehatan dan pendidikan hingga organisasi nirlaba.

Daftar pelanggan MSP termasuk NHS, Departemen Pekerjaan dan Pensiun Inggris (DWP), dan Bandara Kota London.

Seorang juru bicara untuk Advanced tidak segera memberikan komentar ketika dihubungi oleh BleepingComputer sebelumnya hari ini untuk lebih jelasnya.

Sumber: Bleeping Computer

Serangan Siber terhadap Pemerintah Albania Menunjukkan Agresi Baru Iran

August 8, 2022 by Mally

Pada pertengahan Juli, serangan siber terhadap pemerintah Albania melumpuhkan situs web negara dan layanan publik selama berjam-jam. Dengan perang Rusia yang berkecamuk di Ukraina, Kremlin mungkin tampak seperti tersangka yang paling mungkin. Tetapi penelitian yang diterbitkan pada hari Kamis oleh perusahaan intelijen ancaman Mandiant mengaitkan serangan itu dengan Iran. Dan sementara operasi spionase Teheran dan campur tangan digital telah muncul di seluruh dunia, peneliti Mandiant mengatakan bahwa serangan yang mengganggu dari Iran terhadap anggota NATO adalah eskalasi yang patut diperhatikan.

Serangan digital yang menargetkan Albania pada 17 Juli terjadi menjelang “World Summit of Free Iran,” sebuah konferensi yang dijadwalkan diadakan di kota Manëz di Albania barat pada 23 dan 24 Juli. KTT itu berafiliasi dengan kelompok oposisi Iran Mujahadeen- e-Khalq, atau Organisasi Mujahidin Rakyat Iran (sering disingkat MEK, PMOI, atau MKO). Konferensi itu ditunda sehari sebelum dimulai karena ancaman “teroris” yang dilaporkan dan tidak ditentukan.

Peneliti Mandiant mengatakan bahwa penyerang menyebarkan ransomware dari keluarga Roadsweep dan mungkin juga menggunakan pintu belakang yang sebelumnya tidak dikenal, dijuluki Chimneysweep, serta strain baru dari wiper Zeroclear. Penggunaan malware serupa di masa lalu, waktu serangan, petunjuk lain dari catatan ransomware Roadsweep, dan aktivitas dari aktor yang mengaku bertanggung jawab atas serangan terhadap Telegram semuanya mengarah ke Iran, kata Mandiant.

“Ini adalah langkah eskalasi agresif yang harus kita akui,” kata John Hultquist, wakil presiden intelijen Mandiant. “Spionase Iran terjadi sepanjang waktu di seluruh dunia. Perbedaannya di sini adalah ini bukan spionase. Ini adalah serangan yang mengganggu, yang mempengaruhi kehidupan sehari-hari orang Albania yang hidup dalam aliansi NATO. Dan itu pada dasarnya adalah serangan koersif untuk memaksa tangan pemerintah.”

Iran telah melakukan kampanye peretasan yang agresif di Timur Tengah dan khususnya di Israel, dan peretasnya yang didukung negara telah menembus dan menyelidiki organisasi manufaktur, pasokan, dan infrastruktur penting. Pada November 2021, pemerintah AS dan Australia memperingatkan bahwa peretas Iran secara aktif bekerja untuk mendapatkan akses ke berbagai jaringan yang terkait dengan transportasi, perawatan kesehatan, dan entitas kesehatan masyarakat, antara lain. “Aktor APT yang disponsori pemerintah Iran ini dapat memanfaatkan akses ini untuk operasi lanjutan, seperti eksfiltrasi atau enkripsi data, ransomware, dan pemerasan,” tulis Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri saat itu.

Teheran telah membatasi seberapa jauh serangannya, sebagian besar menjaga eksfiltrasi dan pengintaian data di panggung global. Namun, negara ini telah berpartisipasi dalam operasi pengaruh, kampanye disinformasi, dan upaya untuk ikut campur dalam pemilihan asing, termasuk menargetkan AS.

“Kami sudah terbiasa melihat Iran menjadi agresif di Timur Tengah di mana aktivitas itu tidak pernah berhenti, tetapi di luar Timur Tengah mereka jauh lebih terkendali,” kata Hultquist. “Saya khawatir mereka mungkin lebih bersedia untuk meningkatkan kemampuan mereka di luar kawasan. Dan mereka jelas tidak ragu untuk menargetkan negara-negara NATO, yang menunjukkan kepada saya bahwa penghalang apa pun yang kami yakini ada di antara kami dan mereka mungkin tidak ada sama sekali.”

Dengan Iran mengklaim bahwa ia sekarang memiliki kemampuan untuk memproduksi hulu ledak nuklir, dan perwakilan dari negara itu bertemu dengan para pejabat AS di Wina tentang kemungkinan kebangkitan kembali kesepakatan nuklir 2015 antara negara-negara, sinyal apa pun tentang kemungkinan niat Iran dan toleransi risiko ketika hal itu terjadi. untuk berurusan dengan NATO adalah signifikan.

Sumber: Ars Technica

Peretas Mengeksploitasi Bug Confluence Atlassian untuk Menyebarkan Backdoor Ljl untuk Spionase

August 5, 2022 by Mally

Seorang aktor ancaman mengeksploitasi kelemahan keamanan di server Atlassian Confluence yang sudah ketinggalan zaman untuk menyebarkan Backdoor yang belum pernah terlihat sebelumnya terhadap organisasi yang tidak disebutkan namanya di sektor penelitian dan layanan teknis.

Serangan itu, yang terjadi selama tujuh hari selama akhir Mei, telah dikaitkan dengan klaster aktivitas ancaman yang dilacak oleh perusahaan keamanan siber Deepwatch sebagai TAC-040.

Kerentanan Atlassian yang diduga telah dieksploitasi adalah CVE-2022-26134, cacat injeksi Object-Graph Navigation Language (OGNL) yang membuka jalan bagi eksekusi kode arbitrer pada Confluence Server atau contoh Data Center.

Menyusul laporan eksploitasi aktif dalam serangan dunia nyata, masalah ini ditangani oleh perusahaan Australia pada 4 Juni 2022.

Tetapi mengingat tidak adanya artefak forensik, Deepwatch berteori bahwa pelanggaran tersebut dapat menyebabkan eksploitasi kerentanan Spring4Shell (CVE-2022-22965) untuk mendapatkan akses awal ke aplikasi web Confluence.

Tidak banyak yang diketahui tentang TAC-040 selain fakta bahwa tujuan kolektif musuh mungkin terkait dengan spionase, meskipun kemungkinan bahwa kelompok tersebut dapat bertindak demi keuntungan finansial belum dikesampingkan, dengan alasan adanya pemuat untuk penambang kripto XMRig pada sistem.

Meskipun tidak ada bukti bahwa penambang dieksekusi dalam insiden ini, alamat Monero yang dimiliki oleh pelaku ancaman telah menjaring setidaknya 652 XMR ($106.000) dengan membajak sumber daya komputasi sistem lain untuk menambang cryptocurrency secara ilegal.

Rantai serangan juga terkenal karena penerapan implan yang sebelumnya tidak berdokumen yang disebut Ljl Backdoor di server yang disusupi. Kira-kira 700MB data yang diarsipkan diperkirakan telah dieksfiltrasi sebelum server diambil offline oleh korban, menurut analisis log jaringan.

Malware, pada bagiannya, adalah virus trojan berfitur lengkap yang dirancang untuk mengumpulkan file dan akun pengguna, memuat muatan .NET sewenang-wenang, dan mengumpulkan informasi sistem serta lokasi geografis korban.

Sumber: The Hacker News

Layanan phishing ‘Robin Banks’ baru menargetkan BofA, Citi, dan Wells Fargo

July 28, 2022 by Mally

Platform phishing sebagai layanan (PhaaS) baru bernama ‘Robin Banks’ telah diluncurkan, menawarkan kit phishing siap pakai yang menargetkan pelanggan bank terkenal dan layanan online.

Entitas yang ditargetkan termasuk Citibank, Bank of America, Capital One, Wells Fargo, PNC, U.S. Bank, Lloyds Bank, Commonwealth Bank di Australia, dan Santander.

Selain itu, Robin Banks menawarkan template untuk mencuri akun Microsoft, Google, Netflix, dan T-Mobile.

Menurut sebuah laporan oleh IronNet, yang analisnya menemukan platform phishing baru, Robin Banks telah digunakan dalam kampanye skala besar yang dimulai pada pertengahan Juni, menargetkan korban melalui SMS dan email.

Robin Banks adalah proyek baru dari kelompok kejahatan dunia maya yang diyakini aktif setidaknya sejak Maret 2022, dibuat untuk membuat halaman phishing berkualitas tinggi dengan cepat untuk menargetkan pelanggan organisasi keuangan besar.

Itu dijual dalam dua tingkatan harga, satu menawarkan satu halaman dan dukungan 24/7 seharga $50 per bulan, dan yang lainnya memberikan akses tak terbatas ke semua template dan dukungan 24/7 seharga $200 per bulan.

Setelah pendaftaran, pelaku ancaman menerima dasbor pribadi yang berisi laporan tentang operasi mereka, pembuatan halaman yang mudah, pengelolaan dompet, dan opsi untuk membuat situs phishing khusus.

Platform ini juga memberikan opsi kepada pengguna seperti menambahkan reCAPTCHA untuk menggagalkan bot atau memeriksa string agen pengguna untuk memblokir korban tertentu dari kampanye yang sangat bertarget.

Memilih bank target untuk phishing (IronNet)

Selain itu, platform PhaaS baru terus menambahkan template baru dan memperbarui yang lama untuk mencerminkan perubahan gaya dan skema warna entitas yang ditargetkan.

Keuntungan ini telah membuat Robin Banks populer di ruang kejahatan dunia maya, dan banyak penjahat dunia maya telah mengadopsinya dalam beberapa bulan terakhir.

Dalam satu kampanye yang ditemukan oleh IronNet bulan lalu, operator Robin Banks menargetkan pelanggan Citibank melalui SMS yang memperingatkan mereka tentang “penggunaan yang tidak biasa” dari kartu debit mereka.

Pesan smishing dikirim ke target acak (IronNet)

Tautan yang disediakan untuk mencabut dugaan pembatasan keamanan membawa korban ke halaman phishing di mana mereka diminta untuk memasukkan detail pribadi mereka.

Setelah mendarat di situs phishing, browser korban diambil sidik jarinya untuk menentukan apakah mereka menggunakan desktop atau seluler, dan versi halaman web yang sesuai dimuat.

Setelah korban memasukkan semua detail yang diperlukan di bidang formulir situs phishing, permintaan POST dikirim ke API Robin Banks, yang berisi dua token unik, satu untuk operator kampanye dan satu untuk korban.

POST permintaan untuk mentransfer data yang dicuri (IronNet)

Situs phishing mengirimkan satu permintaan POST untuk setiap halaman web yang diisi oleh korban, yang berfungsi sebagai fail-safe untuk mencuri detail sebanyak mungkin karena proses phishing dapat berhenti kapan saja karena kecurigaan atau alasan lain.

Semua data yang dikirim ke Robin Banks API dapat dilihat dari webGUI platform untuk operator dan administrator platform.

Robin Banks juga memberikan opsi untuk meneruskan detail yang dicuri ke saluran Telegram pribadi operator untuk kenyamanan.

Munculnya platform PhaaS baru berkualitas tinggi tidak menguntungkan bagi pengguna internet, karena mempromosikan phishing ke penjahat dunia maya berketerampilan rendah dan menambah pemboman pesan-pesan rumit.

Untuk menjaga diri Anda aman dari upaya jahat ini, jangan pernah mengklik tautan yang dikirim melalui SMS atau email, dan selalu pastikan situs web yang Anda kunjungi adalah situs resmi.

Terakhir, aktifkan 2FA di semua akun Anda dan gunakan nomor telepon pribadi untuk menerima kata sandi satu kali.

Selengkapnya : Bleeping Computer

QBot phishing menggunakan sideloading Kalkulator Windows untuk menginfeksi perangkat

July 25, 2022 by Mally

Operator malware QBot telah menggunakan Kalkulator Windows untuk memuat muatan berbahaya di komputer yang terinfeksi.

Pemuatan samping DLL adalah metode serangan umum yang memanfaatkan cara Dynamic Link Libraries (DLL) ditangani di Windows. Ini terdiri dari memalsukan DLL yang sah dan menempatkannya di folder tempat sistem operasi memuatnya, bukan yang sah.

QBot, juga dikenal sebagai Qakbot adalah jenis malware Windows yang dimulai sebagai trojan perbankan tetapi berkembang menjadi penetes malware, dan digunakan oleh geng ransomware pada tahap awal serangan untuk menjatuhkan suar Cobalt Strike.

Peneliti keamanan ProxyLife baru-baru ini menemukan bahwa Qakbot, telah menyalahgunakan aplikasi Kalkulator Windows 7 untuk serangan pemuatan samping DLL setidaknya sejak 11 Juli. Metode ini terus digunakan dalam kampanye malspam.

Untuk membantu pembela melindungi dari ancaman ini, ProxyLife dan peneliti di Cyble mendokumentasikan rantai infeksi QBot terbaru.

Email yang digunakan dalam kampanye terbaru membawa lampiran file HTML yang mengunduh arsip ZIP yang dilindungi kata sandi dengan file ISO di dalamnya.

Kata sandi untuk membuka file ZIP ditampilkan dalam file HTML, dan alasan mengunci arsip adalah untuk menghindari deteksi antivirus.

ISO berisi file .LNK, salinan ‘calc.exe’ (Kalkulator Windows), dan dua file DLL, yaitu WindowsCodecs.dll dan muatan bernama 7533.dll.

Saat pengguna memasang file ISO, itu hanya menampilkan file .LNK, yang disamarkan agar terlihat seperti PDF yang menyimpan informasi penting atau file yang dibuka dengan browser Microsoft Edge.

Namun, pintasan mengarah ke aplikasi Kalkulator di Windows, seperti yang terlihat di dialog properti untuk file.

Mengklik pintasan memicu infeksi dengan menjalankan Calc.exe melalui Command Prompt.

Saat dimuat, Kalkulator Windows 7 secara otomatis mencari dan mencoba memuat file DLL WindowsCodecs yang sah. Namun, itu tidak memeriksa DLL di jalur kode keras tertentu, dan akan memuat DLL apa pun dengan nama yang sama jika ditempatkan di folder yang sama dengan yang dapat dieksekusi Calc.exe.

Pelaku ancaman memanfaatkan kelemahan ini dengan membuat file WindowsCodecs.dll berbahaya mereka sendiri yang meluncurkan file .dll [bernomor] lainnya, yang merupakan malware QBot.

Dengan menginstal QBot melalui program tepercaya seperti Kalkulator Windows, beberapa perangkat lunak keamanan mungkin tidak mendeteksi malware saat dimuat, sehingga pelaku ancaman dapat menghindari deteksi.

Perlu dicatat, bahwa kelemahan sideloading DLL ini tidak lagi berfungsi di Windows 10 Calc.exe dan yang lebih baru, itulah sebabnya pelaku ancaman menggabungkan versi Windows 7.

QBot telah ada selama lebih dari satu dekade, dengan asal-usul sejak 2009 [1, 2, 3, 4]. Meskipun kampanye yang mengirimkannya tidak sering, itu diamati didistribusikan oleh botnet Emotet di masa lalu untuk menjatuhkan muatan ransomware.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cyber Attack

Cookies Settings