Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Malware Penipuan Pulsa Menonaktifkan WiFi Anda untuk Memaksa Langganan Premium

by

Microsoft memperingatkan bahwa malware penipuan pulsa adalah salah satu ancaman paling umum di Android dan berkembang dengan fitur yang memungkinkan berlangganan otomatis ke layanan premium.

Penipuan pulsa adalah bagian dari penipuan penagihan, di mana pelaku ancaman menipu korban untuk menelepon atau mengirim SMS ke nomor premium.

Perbedaannya adalah penipuan pulsa tidak bekerja melalui WiFi dan memaksa perangkat untuk terhubung ke jaringan operator seluler.

Wireless Application Protocol

Menonaktifkan koneksi WiFi

Malware dimulai dengan mengumpulkan data di negara pelanggan dan jaringan seluler, di mana Android tidak memerlukan izin dari pengguna.

Langkah kuncinya adalah menonaktifkan koneksi WiFi dan memaksa perangkat untuk menggunakan jaringan operator. Di Android 9 (API level 28) atau lebih rendah, ini dimungkinkan dengan tingkat izin perlindungan normal.

Untuk tingkat API yang lebih tinggi, ada fungsi ‘requestNetwork’ yang berada di bawah izin CHANGE_NETWORK_STATE, yang juga dilengkapi dengan tingkat perlindungan normal.

Malware penipuan pulsa kemudian menggunakan ‘NetworkCallbak’ untuk memantau status jaringan dan mendapatkan variabel ‘jenis jaringan’ untuk mengikat proses ke jaringan tertentu, sehingga memaksa perangkat untuk mengabaikan koneksi WiFi yang tersedia dan menggunakan operator seluler.

Satu-satunya cara bagi pengguna untuk menghindari ini adalah dengan menonaktifkan data seluler secara manual.

Jika operator seluler korban ada dalam daftar target, malware melanjutkan untuk mengambil daftar situs web yang menyediakan layanan premium dan mencoba berlangganan ke situs tersebut secara otomatis.

Meskipun ada beberapa skenario berlangganan, pengguna biasanya mengklik elemen HTML dan kemudian mengirim kode verifikasi ke server.

Beberapa operator menyelesaikan langganan hanya setelah memeriksa bahwa pengguna mengesahkannya melalui kode OTP yang dikirimkan melalui SMS, HTTP, atau USSD (Data Layanan Tambahan Tidak Terstruktur), dengan dua yang pertama lebih populer.

Pengembang malware memiliki subset dari tiga panggilan API yang dapat mereka gunakan untuk membungkam notifikasi SMS dari aplikasi lain:

  • cancelAllNotifications() untuk memberi tahu manajer notifikasi agar mengabaikan semua notifikasi
  • cancelNotification(String key) untuk memberi tahu manajer notifikasi agar mengabaikan satu notifikasi
  • cancelNotifications(String [] keys) untuk memberi tahu manajer notifikasi agar mengabaikan beberapa notifikasi sekaligus

Pengembang malware penipuan tol juga menerapkan mekanisme untuk menjaga perilaku jahat sebijaksana mungkin. Salah satu caranya adalah dengan menjaga agar malware tetap inert jika jaringan seluler perangkat yang terinfeksi tidak ada dalam daftar.

Metode lain adalah dengan menggunakan pemuatan kode dinamis, yang memungkinkan kode tertentu untuk memuat hanya jika kondisi tertentu terpenuhi. Ini membuat pendeteksian malware menjadi lebih sulit, terutama pada analisis statis.

Menjauhkan malware penipuan pulsa dari perangkat Anda adalah dengan memeriksa apakah sumber untuk mengunduh sumber Android Anda dapat dipercaya, seperti Google Play Store.

Selain itu, melihat izin yang diminta saat penginstalan adalah cara yang baik untuk mengurangi risiko malware merajalela di perangkat Anda serta melindungi privasi Anda.

Microsoft juga menyarankan pengguna untuk tidak mengizinkan aplikasi membaca atau mengirim SMS, akses ke pemberitahuan, atau aksesibilitas kecuali izin ini diperlukan untuk fungsi normal.

Sumber: BleepingComputer

Berbagai macam router sedang diserang oleh malware baru yang luar biasa canggih

by

Sebuah kelompok peretas yang luar biasa canggih telah menghabiskan hampir dua tahun menginfeksi berbagai router di Amerika Utara dan Eropa dengan malware yang mengambil kendali penuh dari perangkat terhubung yang menjalankan Windows, macOS, dan Linux, para peneliti melaporkan pada hari Selasa.

Peneliti dari Black Lotus Labs Lumen Technologies mengatakan mereka telah mengidentifikasi setidaknya 80 target yang terinfeksi oleh malware tersembunyi, menginfeksi router yang dibuat oleh Cisco, Netgear, Asus, dan DrayTek. Dijuluki ZuoRAT, Trojan akses jarak jauh adalah bagian dari kampanye peretasan yang lebih luas yang telah ada setidaknya sejak kuartal keempat tahun 2020 dan terus beroperasi.

Penemuan malware yang dibuat khusus yang ditulis untuk arsitektur MIPS dan dikompilasi untuk router kantor kecil dan kantor rumahan adalah signifikan, terutama mengingat jangkauan kemampuannya.

Kemampuannya untuk menghitung semua perangkat yang terhubung ke router yang terinfeksi dan mengumpulkan pencarian DNS dan lalu lintas jaringan yang mereka kirim dan terima dan tetap tidak terdeteksi adalah ciri dari aktor ancaman yang sangat canggih.

Kampanye ini terdiri dari setidaknya empat bagian malware, tiga di antaranya ditulis dari awal oleh aktor ancaman. Bagian pertama adalah ZuoRAT berbasis MIPS, yang sangat mirip dengan malware Mirai Internet of Things yang mencapai serangan penolakan layanan terdistribusi yang memecahkan rekor yang melumpuhkan beberapa layanan Internet selama berhari-hari. ZuoRAT sering terinstal dengan mengeksploitasi kerentanan yang belum ditambal di perangkat SOHO.

Setelah diinstal, ZuoRAT menghitung perangkat yang terhubung ke router yang terinfeksi. Pelaku ancaman kemudian dapat menggunakan pembajakan DNS dan pembajakan HTTP untuk menyebabkan perangkat yang terhubung menginstal malware lain.

Dua dari malware tersebut—dijuluki CBeacon dan GoBeacon—dibuat khusus, dengan yang pertama ditulis untuk Windows dalam C++ dan yang terakhir ditulis dalam Go untuk kompilasi silang di perangkat Linux dan macOS. Untuk fleksibilitas, ZuoRAT juga dapat menginfeksi perangkat yang terhubung dengan alat peretas Cobalt Strike yang banyak digunakan.

ZuoRAT dapat memutar infeksi ke perangkat yang terhubung menggunakan salah satu dari dua metode:

  • Pembajakan DNS, yang menggantikan alamat IP yang valid terkait dengan domain seperti Google atau Facebook dengan yang berbahaya yang dioperasikan oleh penyerang.
  • Pembajakan HTTP, di mana malware memasukkan dirinya ke dalam koneksi untuk menghasilkan kesalahan 302 yang mengarahkan pengguna ke alamat IP yang berbeda.

Black Lotus Labs mengatakan infrastruktur komando dan kontrol yang digunakan dalam kampanye sengaja dibuat rumit dalam upaya untuk menyembunyikan apa yang terjadi. Satu set infrastruktur digunakan untuk mengontrol router yang terinfeksi, dan infrastruktur lainnya dicadangkan untuk perangkat yang terhubung jika kemudian terinfeksi.

Para peneliti mengamati router dari 23 alamat IP dengan koneksi terus-menerus ke server kontrol yang mereka yakini sedang melakukan survei awal untuk menentukan apakah target menarik.

Penemuan kampanye yang sedang berlangsung ini adalah yang paling penting yang mempengaruhi router SOHO sejak VPNFilter, malware router yang dibuat dan disebarkan oleh pemerintah Rusia yang ditemukan pada tahun 2018. Router sering diabaikan, terutama di era bekerja dari rumah. Sementara organisasi sering memiliki persyaratan ketat untuk perangkat apa yang diizinkan untuk terhubung, hanya sedikit patch mandat atau perlindungan lain untuk router perangkat.

Seperti kebanyakan malware router, ZuoRAT tidak dapat bertahan dari reboot. Cukup restart perangkat yang terinfeksi akan menghapus eksploitasi ZuoRAT awal, yang terdiri dari file yang disimpan dalam direktori sementara. Namun, untuk pulih sepenuhnya, perangkat yang terinfeksi harus direset ke setelan pabrik.

Selengkapnya: Arstechnica

New YTStealer malware steals accounts from YouTube Creators

by

Malware pencuri informasi baru bernama YTStealer menargetkan pembuat konten YouTube dan mencoba mencuri token autentikasi mereka dan membajak saluran mereka.

Menurut sebuah laporan yang diterbitkan hari ini oleh Intezer, fokus pada satu tujuan telah memberi penulis YTStealer kemampuan untuk membuat operasi pencurian tokennya menjadi sangat efektif, menggabungkan trik khusus yang canggih.

Karena malware YTStealer menargetkan pembuat konten YouTube, sebagian besar distribusinya menggunakan perangkat lunak yang meniru umpan yang mengedit video atau bertindak sebagai konten untuk video baru.

Contoh perangkat lunak tiruan yang berisi penginstal YTStealer berbahaya termasuk OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro, dan Filmora.

Dalam kasus lain yang menargetkan pembuat konten game, YTStealer meniru mod untuk Grand Theft Auto V, cheat untuk Counter-Strike Go dan Call of Duty, game Valorant, atau peretasan untuk Roblox.

Para peneliti juga melihat celah dan generator token untuk Discord Nitro dan Spotify Premium yang membawa malware baru.

Menurut Intezer, YTStealer biasanya dibundel dengan pencuri informasi lainnya seperti RedLine dan Vidar yang terkenal. Dengan demikian, sebagian besar diperlakukan sebagai “bonus” khusus yang dijatuhkan bersama malware yang menargetkan pencurian kata sandi dari cakupan perangkat lunak yang lebih luas.

Malware YTStealer menjalankan beberapa pemeriksaan anti-kotak pasir sebelum dijalankan di host, menggunakan alat Chacal sumber terbuka untuk tujuan ini.

Jika mesin yang terinfeksi dianggap sebagai target yang valid, malware akan memeriksa file database SQL browser untuk menemukan token autentikasi YouTube.

Selanjutnya, ia memvalidasinya dengan meluncurkan browser web dalam mode tanpa kepala dan menambahkan cookie yang dicuri ke tokonya. Jika valid, YTStealer juga mengumpulkan informasi tambahan seperti:

  • Nama saluran YouTube
  • Jumlah pelanggan
  • Tanggal pembuatan
  • Status monetisasi
  • Status saluran artis resmi

Meluncurkan browser web dalam mode tanpa kepala membuat seluruh operasi tersembunyi bagi korban, yang tidak akan melihat sesuatu yang aneh kecuali mereka meneliti proses yang sedang berjalan.

Untuk mengontrol browser, YTStealer menggunakan perpustakaan yang disebut Rod, sebuah utilitas yang banyak digunakan untuk otomatisasi web dan scraping. Oleh karena itu, pemusnahan informasi saluran YouTube terjadi tanpa intervensi manual dari pelaku ancaman.

YTStealer sepenuhnya otomatis dan tidak membedakan antara akun YouTube kecil atau besar, mencuri semuanya dan membiarkan operatornya mengevaluasi tangkapan mereka nanti.

Intezer percaya bahwa akun YouTube yang dicuri dijual di web gelap, dengan harga tergantung pada ukuran saluran. Jelas, semakin besar dan lebih berpengaruh saluran YouTube, semakin mahal untuk membeli di pasar web gelap.

Pembeli akun tersebut biasanya menggunakan cookie otentikasi curian ini untuk membajak saluran YouTube untuk berbagai penipuan, biasanya cryptocurrency, atau meminta uang tebusan dari pemilik sebenarnya.

Ini sangat berbahaya bagi pembuat konten YouTube karena meskipun akun mereka aman dengan autentikasi multi-faktor, token autentikasi akan melewati MFA dan memungkinkan pelaku ancaman untuk masuk ke akun mereka.

Oleh karena itu, kreator YouTube disarankan untuk keluar dari akunnya secara berkala untuk membatalkan semua token autentikasi yang mungkin telah dibuat atau dicuri sebelumnya.

Sumber: Bleeping Computer

Malware BRATA yang menghapus Android berkembang menjadi ancaman yang terus-menerus

by

Pelaku ancaman di balik trojan perbankan BRATA telah mengembangkan taktik mereka dan meningkatkan malware dengan kemampuan mencuri informasi.

Perusahaan keamanan seluler Italia Cleafy telah melacak aktivitas BRATA dan memperhatikan perubahan kampanye terbaru yang menyebabkan persistensi lebih lama pada perangkat.

Malware itu sendiri juga telah diperbarui dengan teknik phishing baru, kelas baru untuk meminta izin tambahan pada perangkat, dan sekarang juga menjatuhkan payload tahap kedua dari server command and control (C2).

Malware BRATA juga lebih bertarget, karena para peneliti menemukan bahwa malware itu berfokus pada satu lembaga keuangan pada satu waktu dan hanya berporos ke lembaga lain ketika serangan mereka dianggap tidak efisien oleh tindakan pencegahan.

Misalnya, BRATA kini telah dimuat sebelumnya dengan overlay phishing tunggal alih-alih memperoleh daftar aplikasi yang diinstal dan mengambil suntikan yang tepat dari C2.

Hamparan yang digunakan dalam kampanye baru-baru ini (Cleafy)

Dalam versi yang lebih baru, BRATA menambahkan lebih banyak izin yang memungkinkannya mengirim dan menerima SMS, yang dapat membantu penyerang mencuri kode sementara seperti kata sandi satu kali (OTP) dan otentikasi dua faktor (2FA) yang dikirimkan bank kepada pelanggan mereka.

Setelah bersarang ke perangkat, BRATA mengambil arsip ZIP dari server C2 yang berisi paket JAR (“unrar.jar”).

Utilitas keylogging ini memantau peristiwa yang dihasilkan aplikasi dan menyimpannya secara lokal di perangkat dengan data teks dan stempel waktu yang cocok.

Modul keylogging baru di BRATA (Cleafy)

Analis Cleafy melihat tanda-tanda bahwa alat ini masih dalam pengembangan awal dan para peneliti berpikir bahwa tujuan akhir penulis adalah menyalahgunakan Layanan Aksesibilitas untuk mendapatkan data dari aplikasi lain.

BRATA dimulai sebagai trojan perbankan di Brasil pada tahun 2019, mampu melakukan tangkapan layar, menginstal aplikasi baru, dan mematikan layar untuk membuat perangkat tampak mati.

Pada Juni 2021, BRATA muncul pertama kali di Eropa, menggunakan aplikasi anti-spam palsu sebagai iming-iming dan mempekerjakan agen pendukung palsu yang menipu korban dan menipu mereka agar memberi mereka kendali penuh atas perangkat mereka.

Pada Januari 2022, versi baru BRATA muncul di alam liar, menggunakan pelacakan GPS, beberapa saluran komunikasi C2, dan versi yang disesuaikan untuk pelanggan perbankan di berbagai negara. Versi itu juga menampilkan perintah reset pabrik yang menghapus perangkat setelah semua data dicuri.

Sekarang, selain versi BRATA baru dan perubahan taktik, Cleafy juga menemukan proyek baru: aplikasi pencuri SMS yang berkomunikasi dengan infrastruktur C2 yang sama.

Perbandingan berdampingan BRATA dan pencuri SMS (Cleafy)

Ini menggunakan kerangka kerja yang sama dengan BRATA dan nama kelas yang sama, tetapi tampaknya hanya berfokus pada menyedot pesan teks pendek. Saat ini, pihaknya menargetkan Inggris, Italia, dan Spanyol.

Layar pemilihan bahasa pada aplikasi SMS stealer (Cleafy)

Untuk mencegat SMS yang masuk, aplikasi meminta pengguna untuk mengaturnya sebagai aplikasi perpesanan default sambil juga meminta izin untuk mengakses kontak di perangkat.

Pencuri SMS meminta selama instalasi (Cleafy)

Untuk saat ini, tidak jelas apakah ini hanya percobaan dari upaya tim BRATA untuk membuat aplikasi sederhana yang ditujukan untuk peran tertentu.

Sumber: Bleeping Computer

Malware Emotet sekarang mencuri kartu kredit dari pengguna Google Chrome

by

Botnet Emotet sekarang mencoba menginfeksi calon korban dengan modul pencuri kartu kredit yang dirancang untuk mengumpulkan informasi kartu kredit yang disimpan di profil pengguna Google Chrome.

Setelah mencuri info kartu kredit (yaitu, nama, bulan dan tahun kedaluwarsa, nomor kartu), malware akan mengirimkannya ke server command-and-control (C2) yang berbeda dari yang digunakan modul pencuri kartu Emotet.

Perubahan perilaku ini terjadi setelah peningkatan aktivitas selama bulan April dan peralihan ke modul 64-bit, seperti yang terlihat oleh kelompok riset keamanan Cryptolaemus.

Satu minggu kemudian, Emotet mulai menggunakan file pintasan Windows (.LNK) untuk menjalankan perintah PowerShell untuk menginfeksi perangkat korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default mulai awal April 2022.

Gambar: Proofpoint

Malware Emotet dikembangkan dan disebarkan dalam serangan sebagai trojan perbankan pada tahun 2014. Malware Emotet telah berkembang menjadi botnet yang digunakan kelompok ancaman TA542 (alias Mummy Spider) untuk mengirimkan muatan tahap kedua.

Ini juga memungkinkan operatornya untuk mencuri data pengguna, melakukan pengintaian pada jaringan yang dilanggar, dan bergerak secara lateral ke perangkat yang rentan.

Emotet dikenal karena menjatuhkan muatan trojan malware Qbot dan Trickbot pada komputer korban yang disusupi, yang digunakan untuk menyebarkan malware tambahan, termasuk suar Cobalt Strike dan ransomware seperti Ryuk dan Conti.

Pada awal tahun 2021, infrastruktur Emotet diturunkan dalam tindakan penegakan hukum internasional yang juga berujung pada penangkapan dua orang.

Penegakan hukum Jerman menggunakan infrastruktur Emotet sendiri untuk melawan botnet, mengirimkan modul yang menghapus malware dari perangkat yang terinfeksi pada 25 April 2021.

Botnet kembali pada November 2021 menggunakan infrastruktur TrickBot yang sudah ada ketika grup riset Emotet Cryptolaemus, perusahaan keamanan komputer GData, dan perusahaan keamanan siber Advanced Intel semuanya mendeteksi malware TrickBot yang digunakan untuk mendorong pemuat Emotet.

Sumber: Bleeping Computer

Hasil pencarian CCleaner beracun menyebarkan malware pencuri informasi

by

Malware yang mencuri kata sandi, kartu kredit, dan dompet kripto Anda dipromosikan melalui hasil pencarian untuk salinan bajakan program pengoptimalan CCleaner Pro Windows.

Kampanye distribusi malware baru ini dijuluki “FakeCrack,” dan ditemukan oleh analis di Avast, yang melaporkan mendeteksi rata-rata 10.000 upaya infeksi setiap hari dari data telemetri pelanggannya. Sebagian besar korban ini berbasis di Prancis, Brasil, Indonesia, dan India.

Malware yang didistribusikan dalam kampanye ini adalah pencuri informasi yang kuat yang dapat memanen data pribadi dan aset cryptocurrency dan mengarahkan lalu lintas internet melalui proxy penyadap data.

Pelaku ancaman mengikuti teknik Black Hat SEO untuk memberi peringkat situs web distribusi malware mereka tinggi di hasil Google Penelusuran sehingga lebih banyak orang akan tertipu untuk mengunduh executable yang dicampur.

Daya tarik yang dilihat oleh Avast adalah CCleaner Professional versi crack, pembersih sistem Windows populer dan pengoptimal kinerja yang masih dianggap sebagai utilitas “harus dimiliki” oleh banyak pengguna.

Hasil Google Penelusuran yang mengarah ke situs berbahaya (Avast)

Hasil pencarian beracun membawa korban melalui beberapa situs web yang akhirnya menampilkan halaman arahan yang menawarkan unduhan file ZIP. Halaman arahan ini biasanya dihosting di platform hosting file yang sah seperti filesend.jp atau mediafire.com.

Portal distribusi malware (Avast)

ZIP dilindungi kata sandi menggunakan PIN yang lemah seperti “1234”, yang hanya ada untuk melindungi muatan dari deteksi anti-virus.

File di dalam arsip biasanya bernama “setup.exe” atau “cracksetup.exe,” tetapi Avast telah melihat delapan executable berbeda yang digunakan dalam kampanye ini.

Korban malware ditipu untuk menginstal upaya untuk mencuri informasi yang disimpan di browser web, seperti kata sandi akun, kartu kredit yang disimpan, dan kredensial dompet cryptocurrency.

Selain itu, ia memantau clipboard untuk alamat dompet yang disalin dan menggantinya dengan yang berada di bawah kendali operator malware untuk mengalihkan pembayaran. Fitur pembajakan clipboard ini bekerja dengan berbagai alamat cryptocurrency, termasuk alamat Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin, dan Bitcoin Cash.

Script memantau clipboard (Avast)

Malware ini juga menggunakan proxy untuk mencuri kredensial akun pasar cryptocurrency menggunakan serangan man-in-the-middle yang sangat sulit dideteksi atau disadari oleh korban.

Mekanisme proxy ini ditambahkan melalui kunci registri baru di “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”.

Korban dapat menonaktifkannya dengan menavigasi ke Jaringan & internet di Pengaturan Windows dan mengalihkan opsi “Gunakan server proxy” ke Mati.

Kampanye ini sudah tersebar luas, dan tingkat infeksinya tinggi, jadi hindari mengunduh perangkat lunak yang retak dari mana saja, bahkan jika situs unduhan memiliki peringkat tinggi di Google Penelusuran.

Sumber: Bleeping Computer

Malware SVCReady baru dimuat dari properti dokumen Word

by

Pemuat malware yang sebelumnya tidak dikenal bernama SVCReady telah ditemukan dalam serangan phishing, menampilkan cara yang tidak biasa untuk memuat malware dari dokumen Word ke mesin yang disusupi.

Lebih khusus lagi, ia menggunakan kode makro VBA untuk mengeksekusi shellcode yang disimpan di properti dokumen yang tiba di target sebagai lampiran email.

Menurut laporan baru oleh HP, malware tersebut telah digunakan sejak April 2022, dengan pengembang merilis beberapa pembaruan pada Mei 2022. Ini menunjukkan bahwa malware tersebut saat ini sedang dalam pengembangan berat, kemungkinan masih dalam tahap awal.

Namun, itu sudah mendukung eksfiltrasi informasi, ketekunan, fitur anti-analisis, dan komunikasi C2 terenkripsi.

Rantai infeksi dimulai dengan email phishing yang membawa lampiran .doc berbahaya.

Namun, bertentangan dengan praktik standar menggunakan PowerShell atau MSHTA melalui makro berbahaya untuk mengunduh muatan dari lokasi yang jauh, kampanye ini menggunakan VBA untuk menjalankan shellcode yang bersembunyi di properti file.

Seperti yang ditunjukkan di bawah ini, shellcode ini disimpan di properti dokumen Word, yang diekstraksi dan dieksekusi oleh makro.

Shellcode disembunyikan di properti dokumen (HP)

Dengan memisahkan makro dari kode shell berbahaya, pelaku ancaman berusaha untuk melewati perangkat lunak keamanan yang biasanya dapat mendeteksinya.

Kode shell yang sesuai dimuat memori tino dari mana ia akan menggunakan fungsi Windows API “Virtual Protect” untuk memperoleh hak akses yang dapat dieksekusi.

Selanjutnya, SetTimer API meneruskan alamat shellcode dan mengeksekusinya. Tindakan ini menghasilkan DLL (payload malware) jatuh ke direktori %TEMP%.

Salinan “rundll32.exe”, biner Windows yang sah, juga ditempatkan di direktori yang sama dengan nama yang berbeda dan akhirnya disalahgunakan untuk menjalankan SVCReady.

Malware SVCReady dimulai dengan membuat profil sistem melalui kueri Registry dan panggilan Windows API dan mengirimkan semua informasi yang dikumpulkan ke server C2 melalui permintaan HTTP POST.

Komunikasi dengan C2 dienkripsi menggunakan kunci RC4. Analis HP berkomentar bahwa fungsi ini ditambahkan pada bulan Mei selama salah satu pembaruan malware.

Malware ini juga membuat dua kueri WMI pada host untuk mencari tahu apakah itu berjalan di lingkungan virtual dan memasuki mode tidur selama 30 menit jika melakukannya untuk menghindari analisis.

Malware memasuki mode tidur untuk menggagalkan analisis (HP)

Mekanisme persistensi saat ini bergantung pada pembuatan tugas terjadwal dan kunci registri baru, tetapi karena kesalahan dalam penerapannya, malware tidak akan diluncurkan setelah reboot.

Tugas terjadwal yang dibuat oleh SVCready (HP)

Fase pengumpulan informasi kedua dimulai setelah semua itu, dan itu melibatkan tangkapan layar, mengekstraksi “osinfo”, dan mengirimkan semuanya ke C2.

Mekanisme pengambilan tangkapan layar (HP) malware

SVCReady terhubung ke C2 setiap lima menit untuk melaporkan statusnya, menerima tugas baru, mengirim informasi yang dicuri, atau memvalidasi domain.

Fungsi-fungsi yang didukung oleh SVCReady saat ini adalah sebagai berikut:

  • Unduh file ke klien yang terinfeksi
  • Ambil tangkapan layar
  • Jalankan perintah shell

Selengkapnya

Laporan HP melihat tautan ke kampanye TA551 (Shatak) sebelumnya seperti gambar memikat yang digunakan dalam dokumen berbahaya, URL sumber daya yang digunakan untuk mengambil muatan, dll. Sebelumnya, geng phishing menggunakan domain ini untuk menampung muatan Ursnif dan IcedID.

TA551 telah ditautkan ke berbagai operator malware dan bahkan afiliasi ransomware, sehingga hubungan dengan SVCReady saat ini tidak jelas dan dapat berupa kemitraan distribusi.

Sumber: Bleeping Computer

Malware Qbot sekarang menggunakan Windows MSDT zero-day dalam serangan phishing

by

Kerentanan kritis Windows zero-day, yang dikenal sebagai Follina dan masih menunggu perbaikan resmi dari Microsoft, sekarang sedang dieksploitasi secara aktif dalam serangan phishing yang sedang berlangsung untuk menginfeksi penerima dengan malware Qbot.

Proofpoint pertama kali melaporkan Senin bahwa zero-day yang sama digunakan dalam phishing yang menargetkan lembaga pemerintah AS dan UE.

Pekan lalu, perusahaan keamanan perusahaan juga mengungkapkan bahwa kelompok peretas TA413 China mengeksploitasi bug tersebut dalam serangan yang menargetkan diaspora Tibet.

Seperti yang dibagikan peneliti keamanan Proofpoint hari ini, afiliasi Qbot TA570 sekarang telah mulai menggunakan dokumen Microsoft Office .docx yang berbahaya untuk menyalahgunakan kelemahan keamanan Follina CVE-2022-30190 dan menginfeksi penerima dengan Qbot.

Penyerang menggunakan pesan utas email yang dibajak dengan lampiran HTML yang akan mengunduh arsip ZIP yang berisi file IMG. Di dalam IMG, target akan menemukan file DLL, Word, dan shortcut.

Sementara file pintasan secara langsung memuat file Qbot DLL yang sudah ada di gambar disk IMG, dokumen .docx kosong akan menjangkau server eksternal untuk memuat file HTML yang mengeksploitasi kelemahan Follina untuk menjalankan kode PowerShell yang mengunduh dan menjalankan kode berbeda Qbot DLL muatan.

Muatan phishing Qbot (BleepingComputer)

Kumpulan indikator kompromi yang terkait dengan kampanye ini oleh analis malware ExecuteMalware dapat ditemukan di sini.

Taktik yang digunakan dalam kampanye phishing ini cocok dengan laporan sebelumnya yang menjelaskan bagaimana TA570 sebelumnya menggunakan pembajakan utas email untuk mendorong lampiran berbahaya.

Keputusan TA570 untuk menggunakan dua metode berbeda untuk menginfeksi calon korban mengisyaratkan pelaku ancaman kejahatan dunia maya yang kemungkinan menjalankan kampanye pengujian A/B untuk menilai taktik mana yang akan memberi mereka hasil terbaik untuk “upaya” mereka.

Ini adalah salah satu dari beberapa kali afiliasi Qbot mencoba mengubah metode serangan mereka tahun ini, pertama kali beralih ke trik lama yang dikenal sebagai Squiblydoo pada bulan Februari untuk menyebarkan malware melalui dokumen Microsoft Office menggunakan regsvr32.exe.

Pada bulan April, setelah Microsoft mulai meluncurkan fitur pemblokiran otomatis makro VBA ke pengguna Office untuk Windows, pelaku ancaman berhenti menggunakan dokumen Microsoft Office dengan makro berbahaya dan beralih ke lampiran arsip ZIP yang dilindungi kata sandi dengan paket Penginstal Windows MSI yang berbahaya.

Qbot (alias Qakbot, Quakbot, dan Pinkslipbot) adalah trojan perbankan Windows modular dengan kemampuan worming untuk menginfeksi lebih banyak perangkat di jaringan yang disusupi melalui eksploitasi berbagi jaringan dan serangan brute force yang sangat agresif terhadap akun admin Active Directory.

Laporan DFIR baru-baru ini menjelaskan serangan kecepatan ringan Qbot di mana malware mampu mencuri data pengguna yang sensitif (termasuk kredensial Windows dan email) dalam waktu sekitar 30 menit setelah infeksi awal.

Sumber: Bleeping Computer