Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity / Cyber Attack

Cyber Attack

Peretas Cina menargetkan skrip kiddies dengan trojan pencuri info

by

Peneliti keamanan siber telah menemukan kampanye baru yang dikaitkan dengan kelompok peretasan “Tropic Trooper” China, yang menggunakan pemuat baru bernama Nimbda dan varian baru trojan Yahoyah.

Trojan dibundel dalam alat greyware bernama ‘SMS Bomber,’ yang digunakan untuk serangan penolakan layanan (DoS) terhadap ponsel, membanjiri mereka dengan pesan. Alat seperti ini biasanya digunakan oleh pelaku ancaman “pemula” yang ingin melancarkan serangan terhadap situs.

Menurut sebuah laporan oleh Check Point, pelaku ancaman juga menunjukkan pengetahuan kriptografi yang mendalam, memperluas spesifikasi AES dalam implementasi khusus.

Infeksi dimulai dengan mengunduh versi berbahaya dari SMS Bomber, yang berisi fungsi biner dan standar alat. Namun, unduhan telah dimodifikasi untuk menyertakan kode tambahan yang dimasukkan ke dalam proses notepad.exe.

Eksekusi yang diunduh sebenarnya adalah pemuat ‘Nimbda’, yang menggunakan ikon SMS Bomber, dan berisi SMS Bomber sebagai executable yang disematkan.

Alat GUI Bomber SMS (Titik Periksa)

Di latar belakang, loader menyuntikkan shellcode ke dalam proses notepad untuk mencapai repositori GitHub, mengambil executable yang dikaburkan, mendekodekannya, dan kemudian menjalankannya melalui proses lekukan di ‘dllhost.exe.’

Payload ini adalah varian Yahoyah baru, yang mengumpulkan data tentang host dan mengirimkannya ke server C2.

Payload terakhir, dijatuhkan oleh executable Yahoyah, dikodekan dalam gambar JPG menggunakan steganografi. Check Point mengidentifikasinya sebagai ‘TClient’, Trooper Tropic pintu belakang yang digunakan dalam kampanye sebelumnya.

Rantai infeksi lengkap (Check Point)

Enkripsi yang digunakan untuk membungkus Yahoyah adalah implementasi kustom dari AES, yang melakukan urutan terbalik dari operasi putaran dua kali; maka Check Point menamakannya AEES.

Cuplikan kode AES yang aneh
(Titik Cek)

Ini tidak membuat enkripsi menjadi lebih kuat tetapi membuat analisis sampel menjadi sangat sulit, membuat para peneliti yang tidak memiliki tekad yang kuat atau membuat pekerjaan mereka jauh lebih membosankan.

Tropic Trooper adalah aktor ancaman canggih yang berfokus pada spionase, yang sebelumnya terlihat menjalankan kampanye phishing terhadap pejabat Rusia.

Trojanizing ‘SMS Bomb’ menunjukkan tepat, penargetan sempit, sehingga kemungkinan keputusan berdasarkan intelijen yang dikumpulkan selama spionase sebelumnya.

Meskipun cakupan penargetan yang tepat tidak diketahui, kampanye ini menunjukkan kemampuan Tropic Trooper untuk membuat umpan apa pun yang diperlukan untuk operasi, pengetahuan kriptografi, dan aktivitas pengembangan malware mereka.

Sumber: Bleeping Computer

Server Microsoft Exchange diretas oleh geng APT ToddyCat baru

by

Grup ancaman persisten tingkat lanjut (APT) yang dijuluki ToddyCat telah menargetkan server Microsoft Exchange di seluruh Asia dan Eropa selama lebih dari setahun, setidaknya sejak Desember 2020.

Saat melacak aktivitas grup, peneliti keamanan dengan Global Research & Analysis Team (GReAT) Kaspersky juga telah menemukan backdoor pasif yang sebelumnya tidak dikenal yang mereka beri nama Samurai dan malware trojan baru yang dijuluki Ninja Trojan.

Kedua jenis malware memungkinkan penyerang untuk mengendalikan sistem yang terinfeksi dan bergerak secara lateral di dalam jaringan korban.

Serangan ToddyCat juga telah terlihat di masa lalu oleh perusahaan keamanan siber Slovakia ESET, yang telah melacaknya sebagai sekelompok aktivitas yang mereka sebut Websiic mulai Maret 2021.

Pada saat itu, kelompok peretas mengeksploitasi kelemahan ProxyLogon Exchange yang memungkinkan mereka mendapatkan eksekusi kode jarak jauh pada server yang rentan untuk menyebarkan cangkang web China Chopper.

Meskipun tidak terlalu aktif hingga Februari 2021, mereka dengan cepat meningkatkan serangan mereka setelah mulai memindai dan menargetkan server Microsoft Exchange yang belum ditambal di seluruh Eropa dan Asia dengan eksploitasi ProxyLogon.

Alur serangan ToddyCat (Kaspersky)

“Bagaimanapun, perlu dicatat bahwa semua mesin yang ditargetkan terinfeksi antara Desember dan Februari adalah server Microsoft Windows Exchange; penyerang mengkompromikan server dengan eksploitasi yang tidak diketahui, dengan sisa rantai serangan sama seperti yang digunakan pada bulan Maret.”

Target favorit kelompok tersebut adalah organisasi tingkat tinggi, termasuk entitas pemerintah dan militer, serta kontraktor militer.

Sementara gelombang serangan pertama (antara Desember 2020 dan Februari 2021) hanya menargetkan sejumlah kecil organisasi pemerintah di Vietnam dan Taiwan, gelombang berikutnya (antara Februari 2021 dan Mei 2021) dengan cepat meluas ke entitas dari daftar panjang negara di seluruh dunia. , termasuk Rusia, India, Iran, dan Inggris.

Pada fase berikutnya (hingga Februari 2022), ToddyCat menargetkan kelompok negara yang sama tetapi juga menambahkan organisasi dari Indonesia, Uzbekistan, dan Kirgistan ke dalam daftar.

Dalam serangan gelombang ketiga ini, grup APT juga memperluas fokus mereka untuk memasukkan sistem desktop, sementara sebelumnya, mereka secara eksklusif menargetkan server Microsoft Exchange.

Kaspersky mengatakan para korban ToddyCat terkait dengan sektor industri dan negara-negara yang juga ditargetkan oleh beberapa kelompok berbahasa China.

Namun, beberapa entitas yang mereka langgar (di tiga negara berbeda) juga diretas pada waktu yang hampir bersamaan oleh peretas yang didukung Tiongkok menggunakan pintu belakang FunnyDream.

Sumber: Bleeping Computer

Adobe Acrobat dapat memblokir alat antivirus dari pemantauan file PDF

by

Peneliti keamanan menemukan bahwa Adobe Acrobat sedang mencoba untuk memblokir perangkat lunak keamanan agar tidak terlihat ke dalam file PDF yang dibukanya, menciptakan risiko keamanan bagi pengguna.

Agar alat keamanan berfungsi, diperlukan visibilitas ke semua proses pada sistem, yang dicapai dengan menyuntikkan pustaka tautan dinamis (DLL) ke dalam produk perangkat lunak yang diluncurkan pada mesin.

File PDF telah disalahgunakan di masa lalu untuk mengeksekusi malware pada sistem. Salah satu metode tersebut adalah menambahkan perintah di bagian ‘OpenAction’ dokumen untuk menjalankan perintah PowerShell untuk aktivitas jahat, jelas para peneliti di perusahaan keamanan siber Minerva Labs.

Menurut laporan minggu ini, daftar tersebut telah berkembang menjadi 30 DLL dari produk keamanan dari berbagai vendor. Di antara yang lebih populer dengan konsumen adalah Bitdefender, Avast, Trend Micro, Symantec, Malwarebytes, ESET, Kaspersky, F-Secure, Sophos, Emsisoft.

Sementara Chromium DLL hadir dengan daftar pendek komponen yang akan masuk daftar hitam karena menyebabkan konflik, vendor yang menggunakannya dapat membuat modifikasi dan menambahkan DLL apa pun yang mereka inginkan.

Daftar DLL hardcoded Chromium, sumber: Minerva Labs

Para peneliti menjelaskan bahwa “libcef.dll dimuat oleh dua proses Adobe: AcroCEF.exe dan RdrCEF.exe” sehingga kedua produk memeriksa sistem untuk komponen produk keamanan yang sama.

Melihat lebih dekat pada apa yang terjadi dengan DLL yang disuntikkan ke dalam proses Adobe, Minerva Labs menemukan bahwa Adobe memeriksa apakah nilai bBlockDllInjection di bawah kunci registri ‘SOFTWARE\Adobe\Adobe Acrobat\DC\DLLInjection\’ diatur ke 1. Jika demikian, itu akan mencegah DLL perangkat lunak antivirus disuntikkan ke dalam proses.

Perlu dicatat bahwa nilai kunci registri saat Adobe Reader dijalankan untuk pertama kalinya adalah ‘0’ dan dapat dimodifikasi kapan saja.

Menurut peneliti Minerva Labs Natalie Zargarov, nilai default untuk kunci registri diatur ke ‘1’ – menunjukkan pemblokiran aktif. Pengaturan ini mungkin bergantung pada sistem operasi atau versi Adobe Acrobat yang diinstal, serta variabel lain pada sistem.

Dalam sebuah posting di forum Citrix pada tanggal 28 Maret, seorang pengguna yang mengeluh tentang kesalahan Sophos AV karena menginstal produk Adobe mengatakan bahwa perusahaan “menyarankan untuk menonaktifkan injeksi DLL untuk Acrobat dan Reader.

Adobe menanggapi pengguna Citrix yang mengalami kesalahan pada mesin dengan Sophos AV

Adobe mengonfirmasi bahwa pengguna telah melaporkan mengalami masalah karena komponen DLL dari beberapa produk keamanan tidak kompatibel dengan penggunaan perpustakaan CEF oleh Adobe Acrobat.

Perusahaan menambahkan bahwa saat ini sedang bekerja dengan vendor untuk mengatasi masalah dan “untuk memastikan fungsionalitas yang tepat dengan desain kotak pasir CEF Acrobat ke depan.”

Peneliti Minerva Labs berpendapat bahwa Adobe memilih solusi yang memecahkan masalah kompatibilitas tetapi memperkenalkan risiko serangan nyata dengan mencegah perangkat lunak keamanan melindungi sistem.

Sumber: Bleeping Computer

Malware perbankan Android MaliBot baru menyebar sebagai penambang kripto

by

Peneliti keamanan siber telah menemukan malware perbankan Android baru bernama MaliBot, yang menyamar sebagai aplikasi penambangan cryptocurrency atau browser web Chrome untuk menargetkan pengguna di Italia dan Spanyol.

MaliBot berfokus pada mencuri informasi keuangan seperti kredensial layanan e-banking, kata sandi dompet kripto, dan detail pribadi, sementara itu juga mampu mengambil kode otentikasi dua faktor dari notifikasi.

Menurut sebuah laporan oleh F5 Labs, yang analisnya menemukan malware baru, saat ini menggunakan beberapa saluran distribusi, kemungkinan bertujuan untuk menutupi celah pasar yang diciptakan oleh penghentian tiba-tiba operasi FluBot.

Server komando dan kontrol Malibot berbasis di Rusia, dan IP-nya telah dikaitkan dengan beberapa kampanye distribusi malware sejak Juni 2020.

Distribusi MaliBot terjadi melalui situs web yang mempromosikan aplikasi cryptocurrency dalam bentuk APK yang diunduh dan diinstal secara manual oleh korban.

Dalam kampanye lain, malware didorong sebagai aplikasi bernama Mining X, dan para korban ditipu untuk memindai kode QR untuk mengunduh file APK berbahaya.

Situs web Mining X yang mendorong MaliBot

Operator MaliBot juga menggunakan pesan smishing (SMS phishing) untuk mendistribusikan muatan mereka ke daftar nomor telepon yang ditentukan oleh C2. Pesan-pesan ini dikirim dari perangkat yang disusupi yang menyalahgunakan izin “kirim SMS”.

MaliBot adalah trojan Android kuat yang mengamankan aksesibilitas dan izin peluncur saat penginstalan dan kemudian memberikan dirinya sendiri hak tambahan pada perangkat.

Itu dapat mencegat pemberitahuan, SMS, dan panggilan, menangkap tangkapan layar, mendaftarkan aktivitas boot, dan memberikan kemampuan kendali jarak jauh kepada operatornya melalui sistem VNC.

VNC memungkinkan operator untuk menavigasi antar layar, menggulir, mengambil tangkapan layar, menyalin dan menempelkan konten, menggesek, melakukan penekanan lama, dan banyak lagi.

Untuk melewati perlindungan MFA, ia menyalahgunakan API Aksesibilitas untuk mengklik konfirmasi konfirmasi pada peringatan masuk tentang upaya login yang mencurigakan, mengirimkan OTP ke C2, dan mengisinya secara otomatis.

Kode untuk mengambil kode MFA (F5 Labs)

Selain itu, malware dapat mencuri kode MFA dari Google Authenticator dan melakukan tindakan ini sesuai permintaan, membuka aplikasi autentikasi secara independen dari pengguna.

Seperti kebanyakan trojan perbankan, MaliBot mengambil daftar aplikasi yang diinstal untuk menentukan aplikasi bank mana yang digunakan oleh korban untuk mengambil overlay/injeksi yang cocok dari C2. Ketika korban membuka aplikasi yang sah, layar login palsu dihamparkan di atas UI.

Mengirim daftar overlay ke C2 dan menerima injeksi kembali (F5 Labs)

Analis F5 Labs telah melihat fitur yang tidak diterapkan dalam kode MaliBot, seperti deteksi lingkungan yang ditiru yang dapat digunakan untuk menghindari analisis.

Ini adalah tanda bahwa pengembangannya sangat aktif, dan versi baru MaliBot diharapkan segera beredar, mungkin meningkatkan potensi malware baru.

Untuk saat ini, MaliBot memuat overlay yang menargetkan bank Italia dan Spanyol, tetapi dapat segera memperluas cakupannya dengan menambahkan lebih banyak suntikan, seperti yang dilakukan FluBot secara bertahap.

Hamparan bank Spanyol digunakan oleh MaliBot (F5 Labs)

Pada saat penulisan ini, situs web yang mendistribusikan MaliBot tetap online, sehingga operasi distribusi malware masih cukup aktif.

Botnet peer-to-peer baru menginfeksi server Linux dengan cryptominers

by

Botnet peer-to-peer baru bernama Panchan muncul di alam liar sekitar Maret 2022, menargetkan server Linux di sektor pendidikan untuk menambang cryptocurrency.

Panchan diberdayakan dengan fungsi cacing SSH seperti serangan kamus dan penyalahgunaan kunci SSH untuk melakukan gerakan lateral yang cepat ke mesin yang tersedia di jaringan yang disusupi.

Pada saat yang sama, ia memiliki kemampuan penghindaran deteksi yang kuat, seperti menggunakan penambang yang dipetakan dengan memori dan secara dinamis mendeteksi pemantauan proses untuk segera menghentikan modul penambangan.

Menurut Akamai, aktor ancaman di balik proyek baru ini kemungkinan besar adalah orang Jepang. Panchan ditulis dalam Golang, bahasa pemrograman serbaguna yang memudahkan untuk menargetkan arsitektur sistem yang berbeda.

Itu menginfeksi host baru dengan mencari dan menggunakan kunci SSH yang ada atau nama pengguna dan kata sandi yang memaksa. Setelah sukses pada tahap ini, ia membuat folder tersembunyi untuk menyembunyikan dirinya di dalam dengan nama “xinetd.”

Terakhir, malware mengeksekusi biner dan memulai operasi HTTPS POST ke webhook Discord, yang kemungkinan digunakan untuk memantau korban.

Untuk membangun kegigihan, malware menyalin dirinya sendiri ke “/bin/systemd-worker” dan membuat layanan systemd baru untuk diluncurkan setelah reboot sambil menyamar sebagai layanan sistem yang sah.

Komunikasi antara botnet dan C2 tidak dienkripsi dan menggunakan port TCP 1919. Konfigurasi yang dikirim ke malware menyangkut konfigurasi penambang atau memperbarui daftar rekan.

Malware ini juga memiliki fitur “godmode”, panel admin yang dapat diakses menggunakan kunci pribadi yang hanya dimiliki oleh musuh.

Akamai memodifikasi program untuk menghapus ukuran keamanan ini dan menemukan bahwa panel admin menampilkan gambaran umum konfigurasi, status host, statistik rekan, dan pengaturan penambang, sementara itu juga memberikan opsi pembaruan kepada operator.

Salam panel admin dengan konfigurasi saat ini (Akamai)

Binari penambang, xmrig dan nbhash, tidak memiliki file, diterjemahkan dari bentuk base64 dan dieksekusi selama runtime di memori, sehingga tidak pernah menyentuh disk.

Panchan menggunakan NiceHash untuk kolam penambangan dan dompetnya, jadi analis Akamai tidak dapat melacak transaksi atau memperkirakan ukuran operasi penambangan, keuntungan, dll., karena mereka tidak berada di blockchain publik.

Malware ini juga dilengkapi sistem anti-pembunuhan yang mendeteksi sinyal penghentian proses dan mengabaikannya kecuali SIGKILL yang tidak ditangani.

Akamai merekayasa balik malware untuk memetakannya dan menemukan 209 sistem yang disusupi, 40 di antaranya saat ini aktif.

Peta panas rekan/korban Panchan (Akamai)

Sebagian besar korban berada di sektor pendidikan, mungkin karena cocok dengan metode penyebaran Panchan dan membuat pertumbuhannya lebih cepat.

Kebersihan kata sandi yang buruk dan pembagian kunci SSH yang berlebihan untuk mengakomodasi kolaborasi penelitian akademis internasional menciptakan kondisi ideal bagi botnet untuk berkembang biak.

Hipotesis ini selanjutnya didukung oleh temuan kelompok universitas yang terinfeksi di Spanyol, Taiwan, dan Hong Kong.

Dampaknya berkaitan dengan pembajakan sumber daya, yang di lembaga pendidikan dapat menghambat pekerjaan penelitian atau mengganggu penyediaan berbagai layanan publik.

Untuk mencegah jenis serangan ini, Akamai menyarankan agar target potensial menggunakan kata sandi yang rumit, menambahkan MFA di semua akun, membatasi akses SSH, dan terus memantau aktivitas sumber daya VM.

Sumber: Bleeping Computer

Peretas Gallium keuangan backdoor, org pemerintah menggunakan malware PingPull baru

by

Kelompok peretasan yang disponsori negara Gallium telah terlihat menggunakan trojan akses jarak jauh ‘PingPull’ baru terhadap lembaga keuangan dan entitas pemerintah di Eropa, Asia Tenggara, dan Afrika.

Entitas ini berbasis di Australia, Rusia, Filipina, Belgia, Vietnam, Malaysia, Kamboja, dan Afghanistan.

Gallium diyakini berasal dari China, dan cakupan penargetannya di sektor telekomunikasi, keuangan, dan pemerintah dalam operasi spionase sejalan dengan kepentingan negara.

Dalam kampanye baru-baru ini, Gallium menggunakan RAT (trojan akses jarak jauh) baru bernama PingPull, yang menurut para analis di Unit42 (Palo Alto Networks) sangat tersembunyi.

Malware PingPull dirancang untuk memberi pelaku ancaman shell terbalik pada mesin yang disusupi, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh.

Unit42 dapat mengambil sampel tiga varian berbeda dengan fungsionalitas serupa yang menggunakan protokol komunikasi C2 yang berbeda, yaitu ICMP, HTTPS, dan TCP.

Protokol C2 yang berbeda mungkin untuk menghindari metode/alat deteksi jaringan tertentu, dengan aktor yang menyebarkan varian yang sesuai berdasarkan pengintaian awal.

Dalam ketiga kasus tersebut, malware menginstal dirinya sendiri sebagai layanan dan memiliki deskripsi yang mensimulasikan layanan yang sah, yang bertujuan untuk mencegah pengguna menghentikannya.

Perintah dan parameternya dikirim dari C2 dalam bentuk terenkripsi AES, yang dapat didekripsi oleh suar berkat sepasang kunci yang di-hardcode.

Infrastruktur yang dapat ditemukan dan ditautkan oleh Unit 42 ke operasi Gallium mencakup lebih dari 170 alamat IP, beberapa di antaranya berasal dari akhir tahun 2020.

Microsoft telah memperingatkan tentang grup tersebut pada tahun 2019, menyoroti cakupan penargetan yang terbatas pada penyedia layanan telekomunikasi pada saat itu.

Cuplikan kampanye Gallium baru-baru ini mengungkapkan RAT baru, yang menunjukkan bahwa kelompok peretasan masih merupakan ancaman yang aktif dan berkembang.

Berdasarkan laporan terbaru, Gallium telah memperluas cakupan tersebut untuk memasukkan entitas kunci pemerintah dan lembaga keuangan di Asia, Afrika, Eropa, dan Australia.

Untuk alasan ini, semua organisasi vital disarankan untuk menggunakan indikator kompromi yang disediakan dalam laporan Unit 42 untuk deteksi ancaman yang tepat waktu.

Sumber: Bleeping Computer

Operasi phishing Facebook Messenger besar-besaran menghasilkan jutaan

by

Para peneliti telah menemukan operasi phishing skala besar yang menyalahgunakan Facebook dan Messenger untuk memikat jutaan pengguna ke halaman phishing, menipu mereka agar memasukkan kredensial akun mereka dan melihat iklan.

Operator kampanye menggunakan akun curian ini untuk mengirim pesan phishing lebih lanjut ke teman-teman mereka, menghasilkan pendapatan yang signifikan melalui komisi iklan online.

Menurut PIXM, sebuah perusahaan keamanan siber yang berfokus pada AI yang berbasis di New York, kampanye tersebut mencapai puncaknya pada April-Mei 2022 tetapi telah aktif setidaknya sejak September 2021.

PIXM dapat melacak pelaku ancaman dan memetakan kampanye karena salah satu halaman phishing yang teridentifikasi menghosting tautan ke aplikasi pemantauan lalu lintas (whos.amung.us) yang dapat diakses publik tanpa autentikasi.

Meskipun tidak diketahui bagaimana kampanye awalnya dimulai, PIXM menyatakan bahwa korban tiba di halaman arahan phishing dari serangkaian pengalihan yang berasal dari Facebook Messenger.

Karena semakin banyak akun Facebook yang dicuri, pelaku ancaman menggunakan alat otomatis untuk mengirim tautan phishing lebih lanjut ke teman akun yang disusupi, menciptakan pertumbuhan besar-besaran dalam akun yang dicuri.

Sementara Facebook memiliki langkah-langkah perlindungan untuk menghentikan penyebaran URL phishing, pelaku ancaman menggunakan trik untuk melewati perlindungan ini.

Pesan phishing menggunakan layanan pembuatan URL yang sah seperti litch.me, famous.co, amaze.co, dan funnel-preview.com, yang akan menjadi masalah untuk diblokir karena aplikasi yang sah menggunakannya.

Beberapa URL yang digunakan dalam kampanye phishing (PIXM)

Setelah menemukan bahwa mereka dapat memperoleh akses yang tidak diautentikasi ke halaman statistik kampanye phishing, para peneliti menemukan bahwa pada tahun 2021, 2,7 juta pengguna telah mengunjungi salah satu portal phishing. Angka ini naik menjadi 8,5 juta pada tahun 2022, mencerminkan pertumbuhan besar-besaran dari kampanye.

Dengan menyelam lebih dalam, para peneliti mengidentifikasi 405 nama pengguna unik yang digunakan sebagai pengidentifikasi kampanye, masing-masing memiliki halaman phishing Facebook yang terpisah. Halaman phishing ini memiliki tampilan halaman mulai dari hanya 4.000 tampilan hingga jutaan, dengan satu tampilan halaman mencapai 6 juta.

Contoh pengguna diseminasi yang teridentifikasi (PIXM)

Para peneliti percaya bahwa 405 nama pengguna ini hanya mewakili sebagian kecil dari akun yang digunakan untuk kampanye.

Setelah korban memasukkan kredensial mereka di halaman arahan phishing, babak baru pengalihan dimulai, membawa mereka ke halaman iklan, formulir survei, dll.

Salah satu iklan ditampilkan kepada pengguna phishing (PIXM)

Pelaku ancaman menerima pendapatan rujukan dari pengalihan ini, yang diperkirakan mencapai jutaan USD pada skala operasi ini.

PIXM menemukan potongan kode umum di semua halaman arahan, yang berisi referensi ke situs web yang telah disita dan merupakan bagian dari penyelidikan terhadap seorang pria Kolombia yang diidentifikasi sebagai Rafael Dorado.

Situs web milik operator kampanye

Pencarian whois terbalik mengungkapkan tautan ke perusahaan pengembangan web yang sah di Kolombia dan situs lama yang menawarkan Facebook “seperti bot” dan layanan peretasan.

PIXM membagikan hasil penyelidikannya kepada Polisi Kolombia dan Interpol, tetapi seperti yang mereka ketahui, kampanye masih berlangsung, meskipun banyak URL yang diidentifikasi telah offline.

Sumber: Bleeping Computer

Malware Emotet sekarang mencuri kartu kredit dari pengguna Google Chrome

by

Botnet Emotet sekarang mencoba menginfeksi calon korban dengan modul pencuri kartu kredit yang dirancang untuk mengumpulkan informasi kartu kredit yang disimpan di profil pengguna Google Chrome.

Setelah mencuri info kartu kredit (yaitu, nama, bulan dan tahun kedaluwarsa, nomor kartu), malware akan mengirimkannya ke server command-and-control (C2) yang berbeda dari yang digunakan modul pencuri kartu Emotet.

Perubahan perilaku ini terjadi setelah peningkatan aktivitas selama bulan April dan peralihan ke modul 64-bit, seperti yang terlihat oleh kelompok riset keamanan Cryptolaemus.

Satu minggu kemudian, Emotet mulai menggunakan file pintasan Windows (.LNK) untuk menjalankan perintah PowerShell untuk menginfeksi perangkat korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default mulai awal April 2022.

Gambar: Proofpoint

Malware Emotet dikembangkan dan disebarkan dalam serangan sebagai trojan perbankan pada tahun 2014. Malware Emotet telah berkembang menjadi botnet yang digunakan kelompok ancaman TA542 (alias Mummy Spider) untuk mengirimkan muatan tahap kedua.

Ini juga memungkinkan operatornya untuk mencuri data pengguna, melakukan pengintaian pada jaringan yang dilanggar, dan bergerak secara lateral ke perangkat yang rentan.

Emotet dikenal karena menjatuhkan muatan trojan malware Qbot dan Trickbot pada komputer korban yang disusupi, yang digunakan untuk menyebarkan malware tambahan, termasuk suar Cobalt Strike dan ransomware seperti Ryuk dan Conti.

Pada awal tahun 2021, infrastruktur Emotet diturunkan dalam tindakan penegakan hukum internasional yang juga berujung pada penangkapan dua orang.

Penegakan hukum Jerman menggunakan infrastruktur Emotet sendiri untuk melawan botnet, mengirimkan modul yang menghapus malware dari perangkat yang terinfeksi pada 25 April 2021.

Botnet kembali pada November 2021 menggunakan infrastruktur TrickBot yang sudah ada ketika grup riset Emotet Cryptolaemus, perusahaan keamanan komputer GData, dan perusahaan keamanan siber Advanced Intel semuanya mendeteksi malware TrickBot yang digunakan untuk mendorong pemuat Emotet.

Sumber: Bleeping Computer