Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menutup pengembangan tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware pencuri informasi yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekrate file dari sistem yang terinfeksi dan bergantung pada loader dan wiper sendiri, yang meminimalkan jejak infeksi.

Dari Oski ke Mars Stealer

Pada Juli 2020, pengembang di balik trojan pencurian informasi Oski tiba-tiba menutup operasi mereka setelah tidak lagi menanggapi pembeli dan penutupan saluran Telegram mereka.

Maju cepat hampir setahun kemudian, dan malware pencuri informasi baru yang disebut ‘Mars Stealer’ mulai dipromosikan di forum peretasan berbahasa Rusia.

Mencuri segalanya

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian melanjutkan untuk menargetkan aplikasi berikut:

Aplikasi internet: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Dompet Nifty, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Clover, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONEX, Dompet Nabox, KHC, Kuil, Dompet Cyano TezBox, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

Dompet Crypto: Bitcoin Core dan semua derivatif (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Selain itu, Mars Stealer akan menangkap dan mengirim informasi dasar berikut ke C2:

  • IP dan negara
  • Jalur kerja ke file EXE
  • Waktu lokal dan zona waktu
  • Sistem bahasa
  • Tata letak keyboard bahasa
  • Buku catatan atau desktop
  • Model prosesor
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain
  • ID Mesin
  • GUID
  • Perangkat lunak yang diinstal dan versinya

Satu-satunya kelalaian penting dari daftar aplikasi yang ditargetkan adalah Outlook, yang kemungkinan akan ditambahkan oleh penulis malware dalam rilis di masa mendatang.

Selengkapnya: Bleepingcomputer

105 Juta Pengguna Android Ditargetkan oleh Kampanye Penipuan Berlangganan

by

Penipuan berlangganan layanan premium untuk Android telah beroperasi selama hampir dua tahun. Disebut ‘Dark Herring’, operasi ini menggunakan 470 aplikasi Google Play Store dan mempengaruhi lebih dari 100 juta pengguna di seluruh dunia, berpotensi menyebabkan ratusan juta USD dalam total kerugian.

‘Dark Herring’ hadir di 470 aplikasi di Google Play Store, sumber aplikasi resmi dan paling dapat dipercaya Android, dengan pengiriman paling awal berasal dari Maret 2020.

Secara total, aplikasi penipuan diinstal oleh 105 juta pengguna di 70 negara, berlangganan mereka ke layanan premium yang mengenakan biaya $ 15 per bulan melalui Direct Carrier Billing (DCB).

Bagaimana malware bekerja

Keberhasilan jangka panjang Dark Herring mengandalkan kemampuan anti-deteksi AV, propagasi melalui sejumlah besar aplikasi, kebingungan kode, dan penggunaan proxy sebagai URL tahap pertama.

Meskipun tidak ada hal di atas yang baru atau inovatif, melihat mereka digabungkan menjadi satu bagian dari perangkat lunak jarang terjadi untuk penipuan Android.

Selain itu, para aktor menggunakan infrastruktur canggih yang menerima komunikasi dari semua pengguna dari 470 aplikasi tetapi ditangani masing-masing secara terpisah berdasarkan pengenal unik.

Aplikasi yang diinstal tidak berisi kode berbahaya tetapi memiliki string terenkripsi berkode keras yang menunjuk ke URL tahap pertama yang dihosting di Amazon CloudFront.

Respons dari server berisi tautan ke file JavaScript tambahan yang dihosting pada instans AWS, yang diunduh ke perangkat yang terinfeksi.

Skrip ini mempersiapkan aplikasi untuk memperoleh konfigurasinya sehubungan dengan korban, menghasilkan pengidentifikasi unik, mengambil detail bahasa dan negara dan menentukan platform DCB mana yang berlaku dalam setiap kasus.

Akhirnya, aplikasi ini menyajikan halaman WebView yang disesuaikan yang meminta korban untuk memasukkan nomor telepon mereka, yang diduga menerima kode OTP (kode sandi satu kali) sementara untuk mengaktifkan akun pada aplikasi.

Aplikasi dan target

Dengan 470 aplikasi untuk mendistribusikan malware, demografi yang ditargetkan cukup beragam. Sebagian besar aplikasi ini termasuk dalam kategori “Hiburan” yang lebih luas dan lebih populer.

Aplikasi Dark Herring lainnya yang lazim adalah alat fotografi, game kasual, utilitas, dan aplikasi produktivitas.

Salah satu faktor kunci dalam konsekuensi dari operasi Dark Herring adalah tidak adanya undang-undang perlindungan konsumen DCB, sehingga beberapa negara menjadi sasaran lebih mantap daripada yang lain.

Mereka yang berisiko lebih besar adalah India, Pakistan, Arab Saudi, Mesir, Yunani, Finlandia, Swedia, Norwegia, Bulgaria, Irak, dan Tunisia.

Bahkan di negara-negara di mana aturan perlindungan DCB yang ketat berlaku, jika para korban terlambat menyadari penipuan, mengembalikan transaksi mungkin tidak mungkin.

Untuk mengakses seluruh daftar semua 470 aplikasi Android berbahaya, lihat halaman GitHub ini.

Sumber: Bleepingcomputer

Peretas Lazarus menggunakan Pembaruan Windows untuk menyebarkan malware

by

Grup peretasan yang didukung Korea Utara, Lazarus, menambahkan klien Pembaruan Windows ke daftar binari yang hidup di luar negeri (LoLBins) dan sekarang secara aktif menggunakannya untuk mengeksekusi kode berbahaya pada sistem Windows.

Metode penyebaran malware baru ditemukan oleh tim Malwarebytes Threat Intelligence saat menganalisis kampanye spearphishing Januari yang meniru perusahaan keamanan dan kedirgantaraan Amerika Lockheed Martin.

Setelah korban membuka lampiran berbahaya dan mengaktifkan eksekusi makro, makro yang disematkan menjatuhkan file WindowsUpdateConf.lnk di folder startup dan file DLL (wuaueng.dll) di folder Windows/System32 yang tersembunyi.

Kemudian file LNK digunakan untuk meluncurkan klien WSUS / Pembaruan Windows (wuauclt.exe) untuk menjalankan perintah yang memuat DLL berbahaya penyerang.

Para peneliti menghubungkan serangan ini dengan Lazarus berdasarkan beberapa bukti, termasuk infrastruktur yang tumpang tindih, metadata dokumen, dan penargetan yang serupa dengan kampanye sebelumnya.

Aliran serangan (Malwarebytes)

Taktik ini ditemukan oleh peneliti MDSec David Middlehurst, yang menemukan bahwa penyerang dapat menggunakan klien Pembaruan Windows untuk mengeksekusi kode berbahaya pada sistem Windows 10.

Ini dapat dilakukan dengan memuat DLL yang dibuat secara khusus menggunakan opsi baris perintah berikut (perintah yang digunakan Lazarus untuk memuat muatan berbahayanya):

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

MITER ATT&CK mengklasifikasikan jenis strategi penghindaran pertahanan ini sebagai Signed Binary Proxy Execution, dan memungkinkan penyerang untuk melewati perangkat lunak keamanan, kontrol aplikasi, dan perlindungan validasi sertifikat digital.

Pelaku ancaman mengeksekusi kode berbahaya dari DLL berbahaya yang dijatuhkan sebelumnya, dimuat menggunakan biner bertanda tangan klien Pembaruan Windows.

Grup Lazarus (juga dilacak sebagai HIDDEN COBRA oleh agen intel AS) adalah grup peretas militer Korea Utara yang aktif selama lebih dari satu dekade, setidaknya sejak 2009.

Operatornya mengoordinasikan kampanye ransomware WannaCry global 2017 dan berada di balik serangan terhadap perusahaan terkenal seperti Sony Films dan beberapa bank di seluruh dunia.

Mereka juga diamati menggunakan pintu belakang ThreatNeedle yang sebelumnya tidak terdokumentasi dalam kampanye spionase dunia maya skala besar terhadap industri pertahanan lebih dari selusin negara.

Departemen Keuangan AS memberikan sanksi kepada tiga kelompok peretas yang disponsori DPRK (Lazarus, Bluenoroff, dan Andariel) pada September 2019, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk info tentang aktivitas Lazarus.

Sumber : Bleeping Computer

Ransomware DeadBolt Menargetkan perangkat QNAP, Meminta 50 BTC untuk Kunci Utama

by

Grup ransomware DeadBolt baru mengenkripsi perangkat QNAP NAS di seluruh dunia menggunakan apa yang mereka klaim sebagai kerentanan zero-day dalam perangkat lunak perangkat.

Serangan dimulai hari ini, 25 Januari, dengan perangkat QNAP tiba-tiba menemukan file mereka dienkripsi dan nama file ditambahkan dengan ekstensi file .deadbolt.

Alih-alih membuat catatan tebusan di setiap folder pada perangkat, halaman login perangkat QNAP dibajak untuk menampilkan layar yang menyatakan, “PERINGATAN: File Anda telah dikunci oleh DeadBolt,” seperti yang ditunjukkan pada gambar di bawah ini.

Layar ini memberi tahu korban bahwa mereka harus membayar 0,03 bitcoin (sekitar $ 1.100) ke alamat Bitcoin tertutup yang unik untuk setiap korban.

Setelah pembayaran dilakukan, aktor ancaman mengklaim bahwa mereka akan melakukan transaksi tindak lanjut ke alamat yang sama yang mencakup kunci dekripsi, yang dapat diambil menggunakan instruksi berikut.

Kunci dekripsi ini kemudian dapat dimasukkan ke dalam layar untuk mendekripsi file perangkat. Pada saat ini, tidak ada konfirmasi bahwa membayar uang tebusan akan mengakibatkan menerima kunci dekripsi atau bahwa pengguna akan dapat mendekripsi file.

QNAP telah mengatakan kepada BleepingComputer bahwa pengguna dapat melewati layar tebusan dan mendapatkan akses ke halaman admin mereka dengan menggunakan URL http://nas_ip:8080/cgi-bin/index.cgi atau https://nas_ip/cgi-bin/index.cgi URL.

BleepingComputer menyadari setidaknya lima belas korban serangan ransomware DeadBolt baru, tanpa wilayah tertentu yang menjadi sasaran.

Seperti semua serangan ransomware terhadap perangkat QNAP, serangan DeadBolt hanya mempengaruhi perangkat yang dapat diakses ke Internet.

Karena aktor ancaman mengklaim serangan itu dilakukan melalui kerentanan zero-day, sangat disarankan agar semua pengguna QNAP memutuskan perangkat mereka dari Internet dan menempatkannya di belakang firewall.

QNAP lebih lanjut mengatakan kepada kami bahwa Tim Respons Insiden Keamanan Produk (PSIRT) mereka sedang menyelidiki vektor serangan sekarang dan bahwa pemilik harus mengikuti langkah-langkah ini untuk melindungi data dan NAS mereka.

Penyerang menuntut 50 bitcoin untuk kunci utama

Pada layar catatan tebusan utama, ada tautan berjudul “pesan penting untuk QNAP,” yang ketika diklik, akan menampilkan pesan dari geng DeadBolt khusus untuk QNAP.

Di layar ini, geng ransomware DeadBolt menawarkan rincian lengkap dari dugaan kerentanan zero-day jika QNAP membayar mereka 5 Bitcoin senilai $ 184.000.

Mereka juga bersedia menjual QNAP kunci dekripsi utama yang dapat mendekripsi file untuk semua korban yang terkena dampak dan info zero-day untuk 50 bitcoin, atau sekitar $ 1,85 juta.

“Lakukan pembayaran bitcoin sebesar 50 BTC ke bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8,” tulis para aktor ancaman dalam sebuah pesan kepada QNAP.

Anda akan menerima kunci master dekripsi universal (dan instruksi) yang dapat digunakan untuk membuka semua file klien Anda. Selain itu, kami juga akan mengirimkan semua rincian tentang kerentanan zero-day untuk security@qnap.com.”

Geng ransomware lebih lanjut menyatakan bahwa tidak ada cara untuk menghubungi mereka selain melalui pembayaran Bitcoin.

Metode komunikasi ini adalah pendekatan yang sangat berbeda dari serangan ransomware lainnya yang biasanya memberikan beberapa bentuk komunikasi, baik melalui situs web, email, atau platform perpesanan Tor khusus.

Sumber: Bleepingcomputer

TrickBot Menghancurkan Browser Peneliti untuk Memblokir Analisis Malware

by

Malware TrickBot yang terkenal telah menerima fitur baru yang membuatnya lebih menantang untuk meneliti, menganalisis, dan mendeteksi dalam varian terbaru, termasuk tab browser yang menabrak ketika mendeteksi skrip yang dipercantik.

TrickBot telah mendominasi lanskap ancaman malware sejak 2016, terus-menerus menambahkan pengoptimalan dan peningkatan sambil memfasilitasi penyebaran malware dan ransomware yang merusak.

Karena TrickBot bersifat modular, aktor ancaman dapat menyebarkan modul yang melakukan berbagai aktivitas berbahaya, termasuk serangan man-in-the-browser untuk mencuri kredensial perbankan online, mencuri basis data direktori aktif, menyebar melalui jaringan, eksfiltrasi data, dan banyak lagi.

Selain sebagai trojan perbankan, TrickBot juga digunakan untuk menyebarkan muatan lain berkat stealthiness dan efektivitasnya.

Baru-baru ini, telah dikaitkan dengan kelompok ransomware Diavol, geng ransomware Conti, dan bahkan munculnya kembali Emotet.

Para peneliti di IBM Trusteer telah menganalisis sampel terbaru untuk melihat fitur anti-analisis baru apa yang telah diperkenalkan baru-baru ini oleh penulis dan menyajikan beberapa temuan menarik dalam laporan mereka.

Para peneliti tidak menyambut

Pertama, pengembang TrickBot menggunakan berbagai obfuscation dan base64 lapisan pengkodean untuk skrip, termasuk minify, ekstraksi string dan penggantian, basis nomor dan mewakili, injeksi kode mati, dan patching monyet.

Obfuscation diharapkan di dunia malware, tetapi TrickBot memiliki banyak lapisan dan bagian yang berlebihan untuk membuat analisis lambat, rumit, dan sering menghasilkan hasil yang tidak meyakinkan.

Kedua, ketika menyuntikkan skrip berbahaya ke halaman web untuk mencuri kredensial, suntikan tidak melibatkan sumber daya lokal tetapi hanya mengandalkan server aktor. Dengan demikian, analis tidak dapat mengambil sampel dari memori mesin yang terinfeksi.

TrickBot berkomunikasi dengan server perintah dan kontrol (C2) menggunakan protokol HTTPS, yang mendukung pertukaran data terenkripsi.

Juga, permintaan injeksi termasuk parameter yang menandai sumber yang tidak diketahui, sehingga analis tidak dapat mengambil sampel dari C2 menggunakan titik akhir yang tidak terdaftar.

Dengan mengumpulkan sidik jari perangkat, operator TrickBot dapat menyuntikkan skrip khusus ke browser masing-masing korban, menargetkan bank tertentu dan membujuk sistemnya bahwa ia berinteraksi dengan pelanggan yang sebenarnya.

Akhirnya, TrickBot memiliki skrip anti-debugging dalam kode JS, yang membantu mengantisipasi ketika sedang dianalisis dan memicu kelebihan memori yang crash halaman.

TrickBot sebelumnya berusaha untuk menentukan apakah itu sedang dianalisis dengan memeriksa resolusi layar host, tetapi sekarang juga mencari tanda-tanda “mempercantik kode.”

Kode mempercantik adalah transformasi kode yang dikaburkan atau teks yang belum dipahat menjadi konten yang lebih mudah dibaca oleh mata manusia dan dengan demikian lebih mudah untuk mengidentifikasi kode yang menarik di dalamnya.

Varian terbaru dari TrickBot menggunakan ekspresi reguler untuk mendeteksi ketika salah satu skrip yang disuntikkan telah dipercantik, biasanya menunjukkan seorang peneliti keamanan menganalisisnya.

Jika kode yang dipercantik ditemukan, TrickBot sekarang crash browser untuk mencegah analisis lebih lanjut dari script disuntikkan.

TrickBot menggunakan RegEx untuk mendeteksi pengaturan yang dipercantik dan melemparkan dirinya ke dalam loop yang meningkatkan ukuran array dinamis pada setiap iterasi. Setelah beberapa putaran, memori akhirnya kelebihan beban, dan browser crash, “peneliti IBM Trusteer menjelaskan dalam posting blog baru.

Bagaimana untuk tetap aman

TrickBot biasanya tiba pada sistem target melalui email phishing yang mencakup lampiran berbahaya yang mengeksekusi makro untuk mengunduh dan menginstal malware.

Selain memperlakukan email masuk dengan hati-hati, disarankan juga untuk mengaktifkan otentikasi multi-faktor pada semua akun Anda dan secara teratur memantau log login jika memungkinkan.

Karena banyak infeksi TrickBot berakhir dengan serangan ransomware, mengikuti praktik segmentasi jaringan dan jadwal cadangan offline reguler juga penting untuk mengandung potensi ancaman.

Sumber: Bleepingcomputer

VMware: Patch Server Horizon Terhadap Serangan Log4j yang Sedang Berlangsung!

by

VMware mendesak pelanggan untuk menambal kerentanan keamanan Log4j kritis yang berdampak pada server VMware Horizon yang terpapar internet yang ditargetkan dalam serangan yang sedang berlangsung.

Setelah eksploitasi yang berhasil, aktor ancaman menyebarkan cangkang web khusus ke dalam layanan VM Blast Secure Gateway untuk mendapatkan akses ke jaringan organisasi, menurut laporan NHS Digital baru-baru ini tentang sistem VMware Horizon yang diserang dengan eksploitasi Log4Shell.

Hal ini memungkinkan mereka untuk melakukan berbagai kegiatan berbahaya, termasuk exfiltration data dan penyebaran payload malware tambahan seperti ransomware.

Microsoft juga memperingatkan dua minggu lalu tentang aktor ancaman berbahasa China yang dilacak sebagai DEV-0401 yang menyebarkan ransomware Night Sky di server VMware Horizon yang terpapar internet menggunakan eksploitasi Log4Shell.

Dalam sebuah email ke Bleeping Computer hari ini, VMware mengatakan mereka sangat mendesak pelanggan untuk menambal server Horizon mereka untuk bertahan melawan serangan aktif ini.

“Bahkan dengan Peringatan Keamanan VMware dan upaya berkelanjutan untuk menghubungi pelanggan secara langsung, kami terus melihat bahwa beberapa perusahaan belum ditambal,” kerry Tuttle, Manajer Komunikasi Korporat VMware, mengatakan kepada BleepingComputer.

“Produk VMware Horizon rentan terhadap kerentanan Apache Log4j / Log4Shell yang kritis kecuali ditambal atau dikurangi dengan benar menggunakan informasi yang diberikan dalam penasihat keamanan kami, VMSA 2021-0028, yang pertama kali diterbitkan pada 10 Desember 2021, dan diperbarui secara teratur dengan informasi baru.”

“Pelanggan yang belum menerapkan patch atau solusi terbaru yang disediakan penasihat keamanan VMware berisiko dikompromikan – atau mungkin telah dikompromikan – oleh aktor ancaman yang memanfaatkan kerentanan Apache Log4shell untuk secara aktif mengkompromikan lingkungan Horizon yang tidak ditambal dan menghadap internet.”

Admin memperingatkan untuk tidak lengah

Seruan VMware untuk bertindak mengikuti peringatan serupa yang dikeluarkan pekan lalu oleh Pusat Cybersecurity Nasional Belanda (NCSC), mendesak organisasi Belanda untuk tetap waspada dalam menghadapi ancaman yang sedang berlangsung yang diwakili oleh serangan Log4j.

Badan pemerintah Belanda memperingatkan bahwa aktor jahat akan terus mencari server yang rentan yang dapat mereka langgar dalam serangan yang ditargetkan dan meminta organisasi untuk menerapkan pembaruan keamanan Atau tindakan mitigasi jika diperlukan.

Menurut Shodan, ada puluhan ribu server VMware Horizon yang terpapar internet, yang semuanya perlu ditambal terhadap upaya eksploitasi Log4j.

“VMware sangat menyarankan agar pelanggan mengunjungi VMSA-2021-0028 dan menerapkan panduan untuk Horizon. VMware memprioritaskan keamanan pelanggan kami karena kami terus menanggapi dampak industri dari kerentanan Apache Log4j.”

Sumber: Bleepingcomputer

Malware DazzleSpy Baru Menargetkan Pengguna macOS Dalam Serangan Watering Hole

by

Serangan lubang air baru ditemukan menargetkan pengguna macOS dan pengunjung situs web stasiun radio pro-demokrasi di Hong Kong yang menginfeksi mereka dengan malware DazzleSpy.

Seperti yang dirinci oleh para peneliti di ESET , itu adalah bagian dari operasi yang sama yang diungkapkan oleh Project Zero Google dua minggu lalu, yang memanfaatkan Chrome dan Windows zero-days untuk meretas ke perangkat Windows dan Android.

Laporan ESET berfokus pada eksploitasi kelemahan WebKit di browser web Safari, yang pada dasarnya menambahkan potongan terakhir dalam teka-teki dan mengonfirmasi bahwa kampanye tersebut menargetkan semua platform utama.

Serangan lubang air melibatkan infeksi situs web yang sah dengan malware, menargetkan demografi situs itu, dan dalam beberapa kasus, hanya alamat IP tertentu.

Kampanye tersebut menargetkan para pendukung kebebasan berbicara, kemerdekaan, dan aktivis politik. Salah satu contohnya yaitu situs palsu yang berusaha memikat para aktivis pembebasan dengan menggunakan domain “fightforhk[.]com” yang baru didaftarkan pada Oktober 2021.

Portal aktivis palsu
Sumber: ESET

Kedua situs web ini menampilkan iframe berbahaya yang mengarah ke domain yang memeriksa versi macOS dan mengalihkan ke tahap berikutnya, yang memuat kode JavaScript eksploit.

Iframe berbahaya yang memicu awal eksploitasi
Sumber: ESET

Eksploitasi menargetkan CVE-2021-1789, kesalahan eksekusi kode arbitrer yang dipicu saat memproses konten web dan memengaruhi versi Safari di bawah 14.1.

Eksploitasi mengimplementasikan dua primitif (‘addrof’ dan ‘fakeobj’) untuk mendapatkan akses baca dan tulis memori, sementara itu juga berisi kode yang membantu melewati mitigasi seperti ‘Gigacage’ dan memuat tahap berikutnya.

Langkah selanjutnya adalah eskalasi hak istimewa ke root, yang terjadi melalui file Mach-O yang dimuat ke dalam memori dan dieksekusi.

Kerentanan yang dieksploitasi untuk mencapai eskalasi hak istimewa adalah CVE-2021-30869, yang memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

mata-mata yang mempesona
Langkah terakhir dalam proses ini adalah menjatuhkan DazzleSpy, pintu belakang kaya fitur yang mencakup berbagai kemampuan jahat.

DazzleSpy menetapkan kegigihan pada sistem yang disusupi dengan menambahkan file Daftar Properti baru ke folder ‘LaunchAgents’. Eksekusinya bersembunyi di $HOME/.local/ dengan nama ‘softwareupdate’ yang menyesatkan.

Entri Daftar Properti Baru
Sumber: ESET

Ada banyak petunjuk yang menunjukkan asal pintu belakang, seperti pesan kesalahan internal, yang ditulis dalam bahasa Mandarin, dan konversi cap waktu yang dieksfiltrasi ke zona Waktu Standar China sebelum mencapai C2.

Pesan kesalahan internal dalam bahasa Cina
Sumber: ESET

Terakhir, DazzleSpy menampilkan enkripsi ujung ke ujung dalam komunikasinya, dan jika perantara memasukkan proxy pemeriksaan TLS di antaranya, ia berhenti mengirim data ke C2.

Sumber : Bleeping Computer

File PowerPoint Berbahaya Digunakan untuk Mendorong Trojan Akses Jarak Jauh

by

Sejak Desember 2021, tren yang berkembang dalam kampanye phishing telah muncul yang menggunakan dokumen PowerPoint berbahaya untuk mendistribusikan berbagai jenis malware, termasuk akses jarak jauh dan trojan pencuri informasi.

Menurut sebuah laporan oleh Netskope’s Threat Labs yang dibagikan dengan Bleeping Computer sebelum dipublikasikan, para aktor menggunakan file PowerPoint yang dikombinasikan dengan layanan cloud yang sah yang meng-host muatan malware.

Keluarga yang dikerahkan dalam kampanye yang dilacak adalah Warzone (alias AveMaria) dan AgentTesla, dua RAT yang kuat dan pencuri info yang menargetkan banyak aplikasi, sementara para peneliti juga melihat jatuhnya pencuri cryptocurrency.

Geser malware ke perangkat Windows

Lampiran phishing PowerPoint yang berbahaya berisi makro yang dikaburkan yang dieksekusi melalui kombinasi PowerShell dan MSHTA, keduanya alat Windows bawaan.

Skrip VBS kemudian didefuscated dan menambahkan entri registri Windows baru untuk ketekunan, yang mengarah ke eksekusi dua skrip. Yang pertama mengambil AgentTesla dari URL eksternal, dan yang kedua menonaktifkan Windows Defender.

Selain itu, VBS menciptakan tugas terjadwal yang mengeksekusi skrip setiap jam, yang mengambil pencuri cryptocurrency PowerShell dari URL Blogger.

Muatan kedua yang disampaikan dalam kampanye ini adalah Warzone, juga RAT, tetapi Netskope tidak memberikan banyak rincian tentang hal itu dalam laporan.

Pencuri cryptocurrency adalah muatan ketiga dari kampanye ini, yang memeriksa data clipboard dengan regex yang sesuai dengan pola dompet cryptocurrency. Jika ditemukan, itu menggantikan alamat penerima dengan satu di bawah kendali aktor.

Pencuri mendukung Bitcoin, Ethereum, XMR, DOGE, dan banyak lagi. Netskope telah menerbitkan daftar lengkap IoCs (indikator kompromi) untuk kampanye ini, termasuk semua dompet yang digunakan oleh para aktor di halaman GitHub ini.

Selengkapnya: Bleepingcomputer