Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

eksploitasi bug windows untuk menginfeksi PC rumahan dengan ransomeware dikarenakan patch tidak resmi dikeluarkan untuk bug windows

by

Perusahaan siber security mengeluarkan patch untuk perbaikan program bug di windows yang microsoft belum perbaiki, dengan lubang ini terus di ekploitasi untuk menyebarkan ransomware.

Acros Security mengeluarkan binary patch kecil untuk menunjukan kekurangan fitur Mark-of-the-Web (MotW) milik Microsoft’s. fitur ini seharusnya digunakan untuk menandai bendara di meta data untuk files yang didapatkan dari internet, stik USB, dan sumber tidak terpercaya lainnya. Bendera ini memastikan bahwa bila file tersebut dibuka, perlindungan ekstra datang.

Terbukti bahwa untuk melewati fitur ini adalah hal yang memungkinkan, dan dengan files yang terunduh dari web tidak membawa bendera MotW, dan menghindar semua proteksi saat dibuka. Khususnya, penyerang yang bisa mencegah windows dari menaruh bendera MotW di file yang diekstrak dari arsip ZIP yang diperoleh dari sumber yang tidak tepercaya. Ini dapat dimanfaatkan oleh penjahat untuk memikat tanda agar membuka arsip ZIP, dan menjalankan perangkat lunak berbahaya di dalamnya tanpa merusak perlindungan keamanan yang diharapkan. Bug tersebut disorot beberapa bulan lalu oleh Will Dormann, analis kerentanan senior di Analygence.

Microsoft belum memperbaiki kesalahan ini. Pengamat IT Kevin Beaumont pada 10 Oktober mengatakan bug itu sekarang sedang dieksploitasi di alam liar. Acros mengeluarkan micropatch sekitar seminggu kemudian yang dapat diterapkan untuk menutup lubang ini sementara Anda menunggu Redmond untuk mengejar.

Sekarang Acros telah mengeluarkan patch baru yang mengatasi lubang keamanan MotW terkait di Windows yang lagi-lagi belum diperbaiki oleh Microsoft.

apa yang baru?
Korban diminta untuk mengambil arsip ZIP yang berisi file JavaScript yang menyamar sebagai antivirus atau pembaruan perangkat lunak Windows.

Skrip tersebut, ketika dijalankan, sebenarnya menyebarkan Magniber, jenis ransomware yang ditujukan untuk pengguna rumahan Windows. Ini mengacak dokumen dan dapat memeras sebanyak $ 2.500 dari korban untuk memulihkan data mereka, menurut Wolf Security.

Magniber tidak termasuk dalam kategori Big Game Hunting, itu masih dapat menyebabkan kerusakan yang signifikan,” tulis tim Wolf dalam laporannya,

analis malware HP Patrick Schlapfer mencatat bahwa JavaScript berbahaya di arsip Magniber ZIP memang membawa bendera MotW tetapi masih dijalankan tanpa peringatan SmartScreen yang muncul untuk menghentikan tindakan yang diminta atau memperingatkan pengguna agar tidak melanjutkan, seperti yang Anda harapkan untuk arsip yang diambil dari internet. Mitja Kolsek, CEO Acros, mengonfirmasi bahwa SmartScreen sedang dilewati oleh skrip Magniber.

SmartScreen Microsoft seharusnya, memblokir file berbahaya yang jelas atau memperingatkan pengguna jika file terlihat mencurigakan, tetapi konten arsip Magniber ZIP dapat mengesampingkan proses itu sepenuhnya.

“Ingat bahwa pada Windows 10 dan Windows 11, membuka file yang berpotensi berbahaya memicu pemeriksaan SmartScreen dari file tersebut, di mana SmartScreen menentukan apakah file tersebut jelas untuk diluncurkan atau pengguna harus diperingatkan tentang hal itu,” kata Kolsek.

Authenticode Microsoft adalah teknologi penandatanganan kode digital yang mengidentifikasi penerbit dan memverifikasi perangkat lunak tidak dirusak setelah ditandatangani dan dirilis. Dormann menemukan bahwa tanda tangan file skrip salah format hingga Windows

Pemeriksaan lebih lanjut oleh Acros Security menemukan bahwa kesalahan terjadi karena SmartScreen, ketika mencoba mengurai tanda tangan yang salah format, menghasilkan kesalahan, yang menyebabkan sistem operasi menjalankan program dan menginfeksi mesin tanpa memicu peringatan.

sumber : the register

Ribuan repositori GitHub memberikan eksploitasi PoC palsu dengan malware

by

Para peneliti di Leiden Institute of Advanced Computer Science menemukan ribuan repositori di GitHub yang menawarkan eksploitasi proof-of-concept (PoC) palsu untuk berbagai kerentanan, beberapa di antaranya termasuk malware.

Menurut makalah teknis dari para peneliti di Leiden Institute of Advanced Computer Science, kemungkinan terinfeksi malware alih-alih mendapatkan PoC bisa mencapai 10,3%, tidak termasuk palsu dan prankware yang terbukti.

Para peneliti menganalisis sedikit lebih dari 47.300 repositori yang mengiklankan eksploitasi untuk kerentanan yang diungkapkan antara 2017 dan 2021 menggunakan tiga mekanisme berikut:

  • Analisis alamat IP: membandingkan IP penerbit PoC dengan daftar blokir publik dan VT dan AbuseIPDB.
  • Analisis biner: jalankan pemeriksaan VirusTotal pada executable yang disediakan dan hashnya.
  • Analisis heksadesimal dan Base64: memecahkan kode file yang dikaburkan sebelum melakukan pemeriksaan biner dan IP.
Metode analisis data (Arxiv.org)

Dari 150.734 IP unik yang diekstraksi, 2.864 entri daftar blokir yang cocok, 1.522 terdeteksi sebagai berbahaya dalam pemindaian antivirus di Virus Total, dan 1.069 di antaranya ada di database AbuseIPDB.

Alamat IP ditemukan di berbagai daftar blokir (Arxiv.org)

Analisis biner memeriksa satu set 6.160 executable dan mengungkapkan total 2.164 sampel berbahaya yang dihosting di 1.398 repositori.

Secara total, 4.893 repositori dari 47.313 yang diuji dianggap berbahaya, dengan sebagian besar dari mereka terkait dengan kerentanan mulai tahun 2020.

Repositori berbahaya per tahun (Arxiv.org)

Laporan tersebut berisi sekumpulan kecil repositori dengan PoC palsu yang mengirimkan malware. Namun, para peneliti berbagi setidaknya 60 contoh lain yang masih hidup dan dalam proses dihapus oleh GitHub.

Dengan melihat lebih dekat ke beberapa kasus tersebut, para peneliti menemukan sejumlah besar malware dan skrip berbahaya yang berbeda, mulai dari trojan akses jarak jauh hingga Cobalt Strike.

Satu kasus yang menarik adalah PoC untuk CVE-2019-0708, umumnya dikenal sebagai “BlueKeep”, yang berisi skrip Python base64 yang dikaburkan yang mengambil VBScript dari Pastebin.

Scriptnya adalah Houdini RAT, trojan berbasis JavaScript lama yang mendukung eksekusi perintah jarak jauh melalui CMD Windows.

Dalam kasus lain, para peneliti melihat PoC palsu yang merupakan pencuri informasi yang mengumpulkan informasi sistem, alamat IP, dan agen pengguna.

Salah satu peneliti, El Yadmani Soufian, memberikan contoh tambahan yang tidak termasuk dalam laporan teknis, yang diberikan di bawah ini:

PowerShell PoC yang berisi biner yang dikodekan dalam base64 ditandai sebagai berbahaya di Total Virus.

Powershell PoC Palsu

Python PoC berisi one-liner yang mendekode payload yang disandikan base64 yang ditandai sebagai berbahaya di Virus Total.

Eksploitasi BlueKeep palsu berisi executable yang ditandai oleh sebagian besar mesin antivirus sebagai berbahaya, dan diidentifikasi sebagai Cobalt Strike.

Skrip yang bersembunyi di dalam PoC palsu dengan komponen berbahaya yang tidak aktif yang dapat menyebabkan kerusakan jika pembuatnya menginginkannya.

Oleh karena itu mempercayai repositori di GitHub secara membabi buta dari sumber yang tidak diverifikasi akan menjadi ide yang buruk karena kontennya tidak dimoderasi, jadi pengguna harus meninjaunya sebelum menggunakannya.

Penguji perangkat lunak disarankan untuk memeriksa dengan cermat PoC yang mereka unduh dan menjalankan pemeriksaan sebanyak mungkin sebelum menjalankannya.

Soufian percaya bahwa semua penguji harus mengikuti tiga langkah berikut:

  • Baca dengan cermat kode yang akan Anda jalankan di jaringan Anda atau pelanggan Anda.
  • Jika kode terlalu dikaburkan dan membutuhkan terlalu banyak waktu untuk menganalisis secara manual, sandbox di lingkungan (mis: Mesin Virtual yang terisolasi) dan periksa jaringan Anda untuk setiap lalu lintas yang mencurigakan.
  • Gunakan alat intelijen sumber terbuka seperti VirusTotal untuk menganalisis binari.

Para peneliti telah melaporkan semua repositori berbahaya yang mereka temukan ke GitHub, tetapi akan memakan waktu sampai semuanya ditinjau dan dihapus, begitu banyak yang masih tersedia untuk umum.

Seperti yang dijelaskan Soufian, penelitian mereka bertujuan tidak hanya berfungsi sebagai tindakan pembersihan satu kali di GitHub, tetapi juga bertindak sebagai pemicu untuk mengembangkan solusi otomatis yang dapat digunakan untuk menandai instruksi berbahaya dalam kode yang diunggah.

Sumber: Bleeping Computer

Bug VMware dengan peringkat keparahan 9,8 dieksploitasi untuk menginstal malware buatan penyihir

by

Peretas telah mengeksploitasi kerentanan yang sekarang ditambal di VMware Workspace ONE Access dalam kampanye untuk menginstal berbagai ransomware dan penambang cryptocurrency, seorang peneliti di perusahaan keamanan Fortinet mengatakan pada hari Kamis.

CVE-2022-22954 adalah kerentanan eksekusi kode jarak jauh di VMware Workspace ONE Access yang membawa peringkat keparahan 9,8 dari kemungkinan 10. VMware mengungkapkan dan menambal kerentanan pada 6 April.

Dalam 48 jam, peretas merekayasa balik pembaruan dan mengembangkan eksploitasi kerja yang kemudian mereka gunakan untuk mengkompromikan server yang belum menginstal perbaikan.

Akses VMware Workspace ONE membantu administrator mengonfigurasi rangkaian aplikasi yang dibutuhkan karyawan di lingkungan kerja mereka.

Pada bulan Agustus, para peneliti di Fortiguard Labs melihat lonjakan tiba-tiba dalam upaya eksploitasi dan perubahan besar dalam taktik. Padahal sebelum para peretas memasang muatan yang memanen kata sandi dan mengumpulkan data lain, gelombang baru membawa sesuatu yang lain—khususnya, ransomware yang dikenal sebagai RAR1ransom, penambang cryptocurrency yang dikenal sebagai GuardMiner, dan Mirai, perangkat lunak yang menyatukan perangkat Linux menjadi botnet besar untuk digunakan dalam serangan penolakan layanan terdistribusi.

“Meskipun kerentanan kritis CVE-2022-22954 sudah ditambal pada bulan April, masih ada beberapa kampanye malware yang mencoba mengeksploitasinya,” tulis peneliti Fortiguard Labs Cara Lin.

Penyerang, tambahnya, menggunakannya untuk menyuntikkan muatan dan mencapai eksekusi kode jarak jauh pada server yang menjalankan produk.

Selengkapnya: ars TECHNICA

Peretas Ransomware Black Basta Menyusup ke Jaringan melalui Qakbot untuk Menyebarkan Brute Rate C4

by

Pelaku ancaman di balik keluarga ransomware Black Basta telah diamati menggunakan trojan Qakbot untuk menyebarkan kerangka kerja Brute Ratel C4 sebagai payload tahap kedua dalam serangan baru-baru ini.

Perkembangan tersebut menandai pertama kalinya perangkat lunak simulasi musuh yang baru lahir dikirimkan melalui infeksi Qakbot.

Penyusupan, dicapai dengan menggunakan email phishing yang berisi tautan senjata yang menunjuk ke arsip ZIP, selanjutnya memerlukan penggunaan Cobalt Strike untuk gerakan lateral.

Sementara utilitas yang sah ini dirancang untuk melakukan aktivitas pengujian penetrasi, kemampuan mereka untuk menawarkan akses jarak jauh telah menjadikannya alat yang menguntungkan di tangan penyerang yang ingin menyelidiki secara diam-diam lingkungan yang disusupi tanpa menarik perhatian untuk waktu yang lama.

Ini telah diperparah oleh fakta bahwa versi Brute Ratel C4 yang telah di-crack mulai beredar bulan lalu di seluruh kejahatan dunia maya bawah tanah, mendorong pengembangnya untuk memperbarui algoritme lisensi agar lebih sulit untuk diretas.

Qakbot, juga disebut QBot dan QuackBot, adalah pencuri informasi dan trojan perbankan yang diketahui aktif sejak 2007. Namun desain modularnya dan kemampuannya untuk bertindak sebagai pengunduh telah mengubahnya menjadi kandidat yang menarik untuk menjatuhkan malware tambahan.

Menurut Trend Micro, file ZIP dalam email berisi file ISO, yang, pada gilirannya, mencakup file LNK yang mengambil muatan Qakbot, yang menggambarkan upaya sebagian pelaku ancaman untuk beradaptasi dengan taktik lain setelah keputusan Microsoft untuk blokir makro secara default untuk dokumen yang diunduh dari web.

Infeksi Qakbot digantikan oleh pengambilan Brute Ratel dan Cobalt Strike, tetapi tidak sebelum melakukan pengintaian otomatis melalui alat baris perintah bawaan seperti arp, ipconfig, nslookup, netstat, dan whoami.

Dalam rantai eksekusi Qakbot lain yang ditemukan oleh perusahaan keamanan siber, file ZIP dikirimkan melalui metode yang semakin populer yang disebut penyelundupan HTML, yang mengakibatkan eksekusi Brute Rate C4 sebagai tahap kedua.

Temuan ini bertepatan dengan kebangkitan serangan Qakbot dalam beberapa bulan terakhir melalui berbagai teknik seperti lampiran file HTML, pemuatan samping DLL, dan pembajakan utas email, yang terakhir melibatkan pengumpulan email secara massal dari serangan ProxyLogon yang sukses yang ditujukan untuk Microsoft. Server pertukaran.

Qakbot jauh dari satu-satunya malware access-as-a-service yang semakin didistribusikan melalui ISO dan format file lain untuk mengatasi pembatasan makro, karena kampanye Emotet, IcedID, dan Bumblebee semuanya mengikuti lintasan yang sama.

Palo Alto Networks Unit 42, pada akhir September 2022, mengatakan telah menemukan file polyglot berbahaya Microsoft Compiled HTML Help (CHM) yang digunakan untuk mengirimkan malware IcedID (alias BokBot).

Metode pengiriman dan jalur infeksi terkemuka lainnya telah melibatkan penggunaan file ZIP yang dilindungi kata sandi yang berisi file ISO, yang mencerminkan file Qakbot, dengan muatan yang disebarkan melalui layanan bayar per penginstal yang dikenal sebagai PrivateLoader, menurut Tim Cymru.

Dan, di atas semua itu, Emotet tampaknya bersiap untuk serangkaian serangan baru setelah jeda singkat selama tiga bulan untuk mengerjakan ulang modul “systeminfo” untuk “meningkatkan penargetan korban tertentu dan membedakan bot pelacak dari pengguna nyata,” ungkap ESET dalam serangkaian tweet.

Sumber: The Hackernews

Laporan Baru Mengungkap Teknik Pengiriman dan Pengelakan Emotet yang Digunakan dalam Serangan Baru-baru ini

by

Pelaku ancaman yang memiliki kaitan dengan malware Emotet yang terkenal terus-menerus mengubah taktik dan infrastruktur command-and-control (C2) mereka untuk menghindari deteksi, menurut penelitian baru dari VMware.

Kebangkitan Emotet, yang diatur oleh tim Conti yang sekarang sudah tidak aktif, telah membuka jalan bagi infeksi Cobalt Strike dan, baru-baru ini, serangan ransomware yang melibatkan Quantum dan BlackCat.

Alur serangan emotet juga ditandai dengan penggunaan vektor serangan yang berbeda dalam upaya untuk tetap terselubung untuk waktu yang lama.

Penyusupan ini biasanya bergantung pada gelombang pesan spam yang mengirimkan dokumen yang mengandung malware atau URL yang disematkan, yang ketika dibuka atau diklik, mengarah pada penyebaran malware.

Pada Januari 2022 saja, VMware mengatakan telah mengamati tiga rangkaian serangan yang berbeda di mana muatan Emotet dikirimkan melalui makro Excel 4.0 (XL4), makro XL4 dengan PowerShell, dan makro Aplikasi Visual Basic (VBA) dengan PowerShell.

Kemunculan kembali Emotet juga ditandai dengan perubahan infrastruktur C2, dengan aktor ancaman mengoperasikan dua klaster botnet baru yang dijuluki Epochs 4 dan 5. Sebelum penghapusan, operasi Emotet berjalan di atas tiga botnet terpisah yang disebut sebagai Epochs 1, 2, dan 3.

Selain itu, 10.235 muatan Emotet yang terdeteksi di alam liar antara 15 Maret 2022, dan 18 Juni 2022, menggunakan kembali server C2 milik Epoch 5.

Selengkapnya: The Hacker News

Serangan Cyber Terhadap Pemerintah Timur Tengah Sembunyikan Malware di logo Windows

by

Seorang aktor ancaman yang berfokus pada spionase telah diamati menggunakan trik steganografi untuk menyembunyikan backdoor yang sebelumnya tidak didokumentasikan dalam logo Windows dalam serangannya terhadap pemerintah Timur Tengah.

Tim Pemburu Ancaman Symantec dari Broadcom mengaitkan alat yang diperbarui ke grup peretasan yang dilacaknya dengan nama Witchetty, yang juga dikenal sebagai LookingFrog, subgrup yang beroperasi di bawah payung TA410.

Analisis terbaru Symantec tentang serangan antara Februari dan September 2022, di mana kelompok itu menargetkan pemerintah dua negara Timur Tengah dan bursa saham negara Afrika, menyoroti penggunaan pintu belakang lain yang disebut Stegmap.

Malware baru memanfaatkan steganografi – teknik yang digunakan untuk menyematkan pesan (dalam hal ini, malware) dalam dokumen non-rahasia – untuk mengekstrak kode berbahaya dari gambar bitmap logo Microsoft Windows lama yang dihosting di repositori GitHub.

“Menyamarkan muatan dengan cara ini memungkinkan penyerang untuk meng-host-nya di layanan gratis dan tepercaya,” kata para peneliti. “Unduhan dari host tepercaya seperti GitHub jauh lebih kecil kemungkinannya untuk menimbulkan tanda bahaya daripada unduhan dari server command-and-control (C&C) yang dikendalikan penyerang.”

Stegmap, seperti backdoor lainnya, memiliki beragam fitur yang memungkinkannya melakukan operasi manipulasi file, mengunduh dan menjalankan file yang dapat dieksekusi, menghentikan proses, dan membuat modifikasi Windows Registry.

Serangan yang mengarah pada penyebaran Stegmap mempersenjatai kerentanan ProxyLogon dan ProxyShell di Exchange Server untuk menjatuhkan web shell China Chopper, yang kemudian digunakan untuk melakukan pencurian kredensial dan aktivitas pergerakan lateral, sebelum meluncurkan malware LookBack.

Selengkapnya: The Hacker News

Malware Prilex ditingkatkan untuk melewati keamanan kartu kredit

by

Analis keamanan telah mengamati tiga versi baru malware penargetan Prilex PoS tahun ini, yang menunjukkan bahwa pembuat dan operatornya kembali beraksi.

Prilex dimulai sebagai malware yang berfokus pada ATM pada tahun 2014 dan beralih ke perangkat PoS (point of sale) pada tahun 2016. Disaat pengembangan dan distribusi mencapai puncaknya pada tahun 2020, malware tersebut menghilang pada tahun 2021.

Analis Kaspersky sekarang melaporkan bahwa Prilex telah kembali, dan jeda operasional tahun lalu tampaknya menjadi jeda untuk fokus mengembangkan versi yang lebih canggih dan kuat.

Angsuran terbaru mampu menghasilkan kriptogram EMV (Europay, MasterCard, dan Visa), yang diperkenalkan pada tahun 2019 oleh VISA sebagai sistem validasi transaksi untuk membantu mendeteksi dan memblokir penipuan pembayaran.

Hal tersebut juga memungkinkan pelaku ancaman untuk menggunakan kriptogram EMV (pesan terenkripsi antara kartu dan pembaca yang berisi detail transaksi) untuk melakukan ‘transaksi GHOST’ bahkan menggunakan kartu kredit yang dilindungi dengan teknologi CHIP dan PIN.

Rantai serangan malware Prilex (Kaspersky)

Infeksi dimulai dengan email spear phishing yang menyamar sebagai teknisi dari vendor PoS, menuduh bahwa perusahaan perlu memperbarui perangkat lunak PoS-nya.

Selanjutnya, teknisi palsu mengunjungi lokasi target secara langsung dan menginstal pembaruan berbahaya di terminal PoS.

Atau, penyerang mengarahkan korban untuk menginstal alat akses jarak jauh AnyDesk di komputer mereka dan kemudian menggunakannya untuk mengganti firmware PoS dengan versi yang dicampur.

Setelah infeksi, operator akan mengevaluasi mesin untuk menentukan apakah target cukup produktif dalam hal volume transaksi keuangan atau tidak sepadan dengan waktu mereka.

Versi Prilex baru telah menambahkan pintu belakang untuk komunikasi, pencuri untuk mencegat semua pertukaran data, dan modul pengunggah untuk eksfiltrasi.

Modul pencurinya menggunakan pengait pada beberapa API Windows untuk mengintip saluran komunikasi antara bantalan PIN dan perangkat lunak PoS dan dapat memodifikasi konten transaksi, menangkap informasi kartu, dan meminta kriptogram EMV baru dari kartu.

Informasi yang diambil disimpan dalam bentuk terenkripsi secara lokal di komputer yang disusupi dan secara berkala diunggah ke server command and control (C2) malware melalui permintaan HTTP POST.

“Grup Prilex telah menunjukkan tingkat pengetahuan yang tinggi tentang transaksi kartu kredit dan debit, dan bagaimana perangkat lunak yang digunakan untuk pemrosesan pembayaran bekerja,” Kaspersky menyimpulkan.

“Ini memungkinkan penyerang untuk terus memperbarui alat mereka untuk menemukan cara untuk menghindari kebijakan otorisasi, memungkinkan mereka untuk melakukan serangan mereka.”

Sumber: Bleeping Computer

Malware pencuri kata sandi Erbium menyebar sebagai game cracks

by

Malware pencuri informasi ‘Erbium’ baru sedang didistribusikan sebagai celah palsu dan cheat untuk video game populer untuk mencuri kredensial korban dan dompet cryptocurrency.

Erbium adalah Malware-as-a-Service (MaaS) baru yang memberi pelanggan malware pencuri informasi baru yang semakin populer di komunitas kejahatan dunia maya berkat fungsionalitasnya yang luas, dukungan pelanggan, dan harga yang kompetitif.

Para peneliti di tim Cluster25 adalah yang pertama melaporkan Erbium awal bulan ini, tetapi laporan baru oleh Cyfirma membagikan informasi lebih lanjut tentang bagaimana trojan pencuri kata sandi didistribusikan.

Erbium awalnya berharga $9 per minggu, tetapi karena popularitasnya meningkat pada akhir Agustus, harganya naik menjadi $100 per bulan atau $1000 untuk lisensi setahun penuh.

Seperti malware pencuri informasi lainnya, Erbium akan mencuri data yang disimpan di browser web (berbasis Chromium atau Gecko), seperti kata sandi, cookie, kartu kredit, dan informasi pengisian otomatis.

Malware ini juga mencoba untuk mengekstrak data dari sejumlah besar dompet cryptocurrency yang dipasang di browser web sebagai ekstensi.

Dompet cryptocurrency panas yang ditargetkan (Cyfirma)

Dompet desktop seperti Exodus, Atomic, Armory, Bitecoin-Core, Bytecoin, Dash-Core, Electrum, Electron, Coinomi, Ethereum, Litecoin-Core, Monero-Core, Zcash, dan Jaxx juga dicuri.

Erbium juga mencuri kode otentikasi dua faktor dari Trezor Password Manager, EOS Authenticator, Authy 2FA, dan Authenticator 2FA.

Malware dapat mengambil tangkapan layar dari semua monitor, mengambil token Steam dan Discord, mencuri file auth Telegram, dan membuat profil host berdasarkan OS dan perangkat keras.

Semua data dieksfiltrasi ke C2 melalui sistem API bawaan, sementara operator mendapatkan gambaran umum tentang apa yang telah dicuri dari setiap host yang terinfeksi di dasbor Erbium, yang ditunjukkan di bawah ini.

Malware menggunakan tiga URL untuk terhubung ke panel, termasuk Jaringan Pengiriman Konten (CDN) Discord, sebuah platform yang sering disalahgunakan oleh operator malware.

Cluster25 melaporkan tanda-tanda infeksi Erbium di seluruh dunia, termasuk di Amerika Serikat, Prancis, Kolombia, Spanyol, Italia, India, Vietnam, dan Malaysia.

Sementara kampanye Erbium pertama menggunakan celah permainan sebagai umpan, saluran distribusi dapat terdiversifikasi secara signifikan kapan saja, karena pembeli malware dapat memilih untuk mendorongnya melalui metode yang berbeda.

Untuk menghindari ancaman dari sistem, hindari mengunduh perangkat lunak bajakan, pindai semua file yang diunduh pada alat AV, dan perbarui perangkat lunak Anda dengan menginstal patch keamanan terbaru yang tersedia.

Sumber: Bleeping Computer