Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Malware

Malware

TrickBot Menghancurkan Browser Peneliti untuk Memblokir Analisis Malware

by

Malware TrickBot yang terkenal telah menerima fitur baru yang membuatnya lebih menantang untuk meneliti, menganalisis, dan mendeteksi dalam varian terbaru, termasuk tab browser yang menabrak ketika mendeteksi skrip yang dipercantik.

TrickBot telah mendominasi lanskap ancaman malware sejak 2016, terus-menerus menambahkan pengoptimalan dan peningkatan sambil memfasilitasi penyebaran malware dan ransomware yang merusak.

Karena TrickBot bersifat modular, aktor ancaman dapat menyebarkan modul yang melakukan berbagai aktivitas berbahaya, termasuk serangan man-in-the-browser untuk mencuri kredensial perbankan online, mencuri basis data direktori aktif, menyebar melalui jaringan, eksfiltrasi data, dan banyak lagi.

Selain sebagai trojan perbankan, TrickBot juga digunakan untuk menyebarkan muatan lain berkat stealthiness dan efektivitasnya.

Baru-baru ini, telah dikaitkan dengan kelompok ransomware Diavol, geng ransomware Conti, dan bahkan munculnya kembali Emotet.

Para peneliti di IBM Trusteer telah menganalisis sampel terbaru untuk melihat fitur anti-analisis baru apa yang telah diperkenalkan baru-baru ini oleh penulis dan menyajikan beberapa temuan menarik dalam laporan mereka.

Para peneliti tidak menyambut

Pertama, pengembang TrickBot menggunakan berbagai obfuscation dan base64 lapisan pengkodean untuk skrip, termasuk minify, ekstraksi string dan penggantian, basis nomor dan mewakili, injeksi kode mati, dan patching monyet.

Obfuscation diharapkan di dunia malware, tetapi TrickBot memiliki banyak lapisan dan bagian yang berlebihan untuk membuat analisis lambat, rumit, dan sering menghasilkan hasil yang tidak meyakinkan.

Kedua, ketika menyuntikkan skrip berbahaya ke halaman web untuk mencuri kredensial, suntikan tidak melibatkan sumber daya lokal tetapi hanya mengandalkan server aktor. Dengan demikian, analis tidak dapat mengambil sampel dari memori mesin yang terinfeksi.

TrickBot berkomunikasi dengan server perintah dan kontrol (C2) menggunakan protokol HTTPS, yang mendukung pertukaran data terenkripsi.

Juga, permintaan injeksi termasuk parameter yang menandai sumber yang tidak diketahui, sehingga analis tidak dapat mengambil sampel dari C2 menggunakan titik akhir yang tidak terdaftar.

Dengan mengumpulkan sidik jari perangkat, operator TrickBot dapat menyuntikkan skrip khusus ke browser masing-masing korban, menargetkan bank tertentu dan membujuk sistemnya bahwa ia berinteraksi dengan pelanggan yang sebenarnya.

Akhirnya, TrickBot memiliki skrip anti-debugging dalam kode JS, yang membantu mengantisipasi ketika sedang dianalisis dan memicu kelebihan memori yang crash halaman.

TrickBot sebelumnya berusaha untuk menentukan apakah itu sedang dianalisis dengan memeriksa resolusi layar host, tetapi sekarang juga mencari tanda-tanda “mempercantik kode.”

Kode mempercantik adalah transformasi kode yang dikaburkan atau teks yang belum dipahat menjadi konten yang lebih mudah dibaca oleh mata manusia dan dengan demikian lebih mudah untuk mengidentifikasi kode yang menarik di dalamnya.

Varian terbaru dari TrickBot menggunakan ekspresi reguler untuk mendeteksi ketika salah satu skrip yang disuntikkan telah dipercantik, biasanya menunjukkan seorang peneliti keamanan menganalisisnya.

Jika kode yang dipercantik ditemukan, TrickBot sekarang crash browser untuk mencegah analisis lebih lanjut dari script disuntikkan.

TrickBot menggunakan RegEx untuk mendeteksi pengaturan yang dipercantik dan melemparkan dirinya ke dalam loop yang meningkatkan ukuran array dinamis pada setiap iterasi. Setelah beberapa putaran, memori akhirnya kelebihan beban, dan browser crash, “peneliti IBM Trusteer menjelaskan dalam posting blog baru.

Bagaimana untuk tetap aman

TrickBot biasanya tiba pada sistem target melalui email phishing yang mencakup lampiran berbahaya yang mengeksekusi makro untuk mengunduh dan menginstal malware.

Selain memperlakukan email masuk dengan hati-hati, disarankan juga untuk mengaktifkan otentikasi multi-faktor pada semua akun Anda dan secara teratur memantau log login jika memungkinkan.

Karena banyak infeksi TrickBot berakhir dengan serangan ransomware, mengikuti praktik segmentasi jaringan dan jadwal cadangan offline reguler juga penting untuk mengandung potensi ancaman.

Sumber: Bleepingcomputer

VMware: Patch Server Horizon Terhadap Serangan Log4j yang Sedang Berlangsung!

by

VMware mendesak pelanggan untuk menambal kerentanan keamanan Log4j kritis yang berdampak pada server VMware Horizon yang terpapar internet yang ditargetkan dalam serangan yang sedang berlangsung.

Setelah eksploitasi yang berhasil, aktor ancaman menyebarkan cangkang web khusus ke dalam layanan VM Blast Secure Gateway untuk mendapatkan akses ke jaringan organisasi, menurut laporan NHS Digital baru-baru ini tentang sistem VMware Horizon yang diserang dengan eksploitasi Log4Shell.

Hal ini memungkinkan mereka untuk melakukan berbagai kegiatan berbahaya, termasuk exfiltration data dan penyebaran payload malware tambahan seperti ransomware.

Microsoft juga memperingatkan dua minggu lalu tentang aktor ancaman berbahasa China yang dilacak sebagai DEV-0401 yang menyebarkan ransomware Night Sky di server VMware Horizon yang terpapar internet menggunakan eksploitasi Log4Shell.

Dalam sebuah email ke Bleeping Computer hari ini, VMware mengatakan mereka sangat mendesak pelanggan untuk menambal server Horizon mereka untuk bertahan melawan serangan aktif ini.

“Bahkan dengan Peringatan Keamanan VMware dan upaya berkelanjutan untuk menghubungi pelanggan secara langsung, kami terus melihat bahwa beberapa perusahaan belum ditambal,” kerry Tuttle, Manajer Komunikasi Korporat VMware, mengatakan kepada BleepingComputer.

“Produk VMware Horizon rentan terhadap kerentanan Apache Log4j / Log4Shell yang kritis kecuali ditambal atau dikurangi dengan benar menggunakan informasi yang diberikan dalam penasihat keamanan kami, VMSA 2021-0028, yang pertama kali diterbitkan pada 10 Desember 2021, dan diperbarui secara teratur dengan informasi baru.”

“Pelanggan yang belum menerapkan patch atau solusi terbaru yang disediakan penasihat keamanan VMware berisiko dikompromikan – atau mungkin telah dikompromikan – oleh aktor ancaman yang memanfaatkan kerentanan Apache Log4shell untuk secara aktif mengkompromikan lingkungan Horizon yang tidak ditambal dan menghadap internet.”

Admin memperingatkan untuk tidak lengah

Seruan VMware untuk bertindak mengikuti peringatan serupa yang dikeluarkan pekan lalu oleh Pusat Cybersecurity Nasional Belanda (NCSC), mendesak organisasi Belanda untuk tetap waspada dalam menghadapi ancaman yang sedang berlangsung yang diwakili oleh serangan Log4j.

Badan pemerintah Belanda memperingatkan bahwa aktor jahat akan terus mencari server yang rentan yang dapat mereka langgar dalam serangan yang ditargetkan dan meminta organisasi untuk menerapkan pembaruan keamanan Atau tindakan mitigasi jika diperlukan.

Menurut Shodan, ada puluhan ribu server VMware Horizon yang terpapar internet, yang semuanya perlu ditambal terhadap upaya eksploitasi Log4j.

“VMware sangat menyarankan agar pelanggan mengunjungi VMSA-2021-0028 dan menerapkan panduan untuk Horizon. VMware memprioritaskan keamanan pelanggan kami karena kami terus menanggapi dampak industri dari kerentanan Apache Log4j.”

Sumber: Bleepingcomputer

Malware DazzleSpy Baru Menargetkan Pengguna macOS Dalam Serangan Watering Hole

by

Serangan lubang air baru ditemukan menargetkan pengguna macOS dan pengunjung situs web stasiun radio pro-demokrasi di Hong Kong yang menginfeksi mereka dengan malware DazzleSpy.

Seperti yang dirinci oleh para peneliti di ESET , itu adalah bagian dari operasi yang sama yang diungkapkan oleh Project Zero Google dua minggu lalu, yang memanfaatkan Chrome dan Windows zero-days untuk meretas ke perangkat Windows dan Android.

Laporan ESET berfokus pada eksploitasi kelemahan WebKit di browser web Safari, yang pada dasarnya menambahkan potongan terakhir dalam teka-teki dan mengonfirmasi bahwa kampanye tersebut menargetkan semua platform utama.

Serangan lubang air melibatkan infeksi situs web yang sah dengan malware, menargetkan demografi situs itu, dan dalam beberapa kasus, hanya alamat IP tertentu.

Kampanye tersebut menargetkan para pendukung kebebasan berbicara, kemerdekaan, dan aktivis politik. Salah satu contohnya yaitu situs palsu yang berusaha memikat para aktivis pembebasan dengan menggunakan domain “fightforhk[.]com” yang baru didaftarkan pada Oktober 2021.

Portal aktivis palsu
Sumber: ESET

Kedua situs web ini menampilkan iframe berbahaya yang mengarah ke domain yang memeriksa versi macOS dan mengalihkan ke tahap berikutnya, yang memuat kode JavaScript eksploit.

Iframe berbahaya yang memicu awal eksploitasi
Sumber: ESET

Eksploitasi menargetkan CVE-2021-1789, kesalahan eksekusi kode arbitrer yang dipicu saat memproses konten web dan memengaruhi versi Safari di bawah 14.1.

Eksploitasi mengimplementasikan dua primitif (‘addrof’ dan ‘fakeobj’) untuk mendapatkan akses baca dan tulis memori, sementara itu juga berisi kode yang membantu melewati mitigasi seperti ‘Gigacage’ dan memuat tahap berikutnya.

Langkah selanjutnya adalah eskalasi hak istimewa ke root, yang terjadi melalui file Mach-O yang dimuat ke dalam memori dan dieksekusi.

Kerentanan yang dieksploitasi untuk mencapai eskalasi hak istimewa adalah CVE-2021-30869, yang memungkinkan aplikasi untuk mengeksekusi kode arbitrer dengan hak istimewa kernel.

mata-mata yang mempesona
Langkah terakhir dalam proses ini adalah menjatuhkan DazzleSpy, pintu belakang kaya fitur yang mencakup berbagai kemampuan jahat.

DazzleSpy menetapkan kegigihan pada sistem yang disusupi dengan menambahkan file Daftar Properti baru ke folder ‘LaunchAgents’. Eksekusinya bersembunyi di $HOME/.local/ dengan nama ‘softwareupdate’ yang menyesatkan.

Entri Daftar Properti Baru
Sumber: ESET

Ada banyak petunjuk yang menunjukkan asal pintu belakang, seperti pesan kesalahan internal, yang ditulis dalam bahasa Mandarin, dan konversi cap waktu yang dieksfiltrasi ke zona Waktu Standar China sebelum mencapai C2.

Pesan kesalahan internal dalam bahasa Cina
Sumber: ESET

Terakhir, DazzleSpy menampilkan enkripsi ujung ke ujung dalam komunikasinya, dan jika perantara memasukkan proxy pemeriksaan TLS di antaranya, ia berhenti mengirim data ke C2.

Sumber : Bleeping Computer

File PowerPoint Berbahaya Digunakan untuk Mendorong Trojan Akses Jarak Jauh

by

Sejak Desember 2021, tren yang berkembang dalam kampanye phishing telah muncul yang menggunakan dokumen PowerPoint berbahaya untuk mendistribusikan berbagai jenis malware, termasuk akses jarak jauh dan trojan pencuri informasi.

Menurut sebuah laporan oleh Netskope’s Threat Labs yang dibagikan dengan Bleeping Computer sebelum dipublikasikan, para aktor menggunakan file PowerPoint yang dikombinasikan dengan layanan cloud yang sah yang meng-host muatan malware.

Keluarga yang dikerahkan dalam kampanye yang dilacak adalah Warzone (alias AveMaria) dan AgentTesla, dua RAT yang kuat dan pencuri info yang menargetkan banyak aplikasi, sementara para peneliti juga melihat jatuhnya pencuri cryptocurrency.

Geser malware ke perangkat Windows

Lampiran phishing PowerPoint yang berbahaya berisi makro yang dikaburkan yang dieksekusi melalui kombinasi PowerShell dan MSHTA, keduanya alat Windows bawaan.

Skrip VBS kemudian didefuscated dan menambahkan entri registri Windows baru untuk ketekunan, yang mengarah ke eksekusi dua skrip. Yang pertama mengambil AgentTesla dari URL eksternal, dan yang kedua menonaktifkan Windows Defender.

Selain itu, VBS menciptakan tugas terjadwal yang mengeksekusi skrip setiap jam, yang mengambil pencuri cryptocurrency PowerShell dari URL Blogger.

Muatan kedua yang disampaikan dalam kampanye ini adalah Warzone, juga RAT, tetapi Netskope tidak memberikan banyak rincian tentang hal itu dalam laporan.

Pencuri cryptocurrency adalah muatan ketiga dari kampanye ini, yang memeriksa data clipboard dengan regex yang sesuai dengan pola dompet cryptocurrency. Jika ditemukan, itu menggantikan alamat penerima dengan satu di bawah kendali aktor.

Pencuri mendukung Bitcoin, Ethereum, XMR, DOGE, dan banyak lagi. Netskope telah menerbitkan daftar lengkap IoCs (indikator kompromi) untuk kampanye ini, termasuk semua dompet yang digunakan oleh para aktor di halaman GitHub ini.

Selengkapnya: Bleepingcomputer

Microsoft menonaktifkan makro Excel 4.0 secara default untuk memblokir malware

by

Microsoft telah mengumumkan bahwa makro Excel 4.0 (XLM) sekarang akan dinonaktifkan secara default untuk melindungi pelanggan dari dokumen berbahaya. Perusahaan mengungkapkan akan menonaktifkan makro XLM di semua penyewa jika pengguna atau admin tidak mengaktifkan atau menonaktifkan fitur secara manual.

Mulai Juli 2021, admin Windows juga dapat menggunakan kebijakan grup dan pengguna pengaturan ‘Aktifkan makro XLM saat makro VBA diaktifkan’ dari Pusat Kepercayaan Excel untuk menonaktifkan fitur ini secara manual.

Admin dapat mengonfigurasi bagaimana makro Excel diizinkan untuk berjalan menggunakan pengaturan Kebijakan Grup, kebijakan Cloud, dan kebijakan ADMX.

Mereka juga dapat memblokir semua penggunaan makro XLM Excel di lingkungan mereka (termasuk file baru yang dibuat pengguna) dengan mengaktifkan Kebijakan Grup “Cegah Excel menjalankan makro XLM”, yang dapat dikonfigurasi melalui Editor Kebijakan Grup atau kunci registri.

Dokumen XLS dengan makro Excel 4.0 yang dikaburkan

Makro XLM (alias Excel 4.0) adalah format makro Excel default hingga Excel 5.0 dirilis pada tahun 1993 ketika Microsoft pertama kali memperkenalkan makro VBA yang masih merupakan format default.

Namun, meskipun dihentikan, pelaku ancaman masih menggunakan XLM tiga dekade kemudian untuk membuat dokumen yang menyebarkan malware atau melakukan perilaku berbahaya lainnya yang memanipulasi file di sistem file lokal karena versi Microsoft Office saat ini masih mendukung makro XLM.

Kampanye berbahaya yang menggunakan makro jenis ini untuk mendorong malware telah diamati dengan mengunduh dan menginstal TrickBot, Zloader, Qbot, Dridex, dan banyak jenis lainnya di komputer korban.

Microsoft juga diam-diam menambahkan Kebijakan Grup pada Oktober 2019 yang memungkinkan admin memblokir pengguna Excel dari membuka file Microsoft Query yang tidak tepercaya (dan berpotensi berbahaya) dengan ekstensi IQY, OQY, DQY, dan RQY.

File-file tersebut telah dipersenjatai dalam berbagai serangan berbahaya untuk mengirimkan Trojan akses jarak jauh dan pemuat malware sejak awal 2018.

Sumber : Bleeping Computer

Malware BHUNT baru menargetkan wallet dan kata sandi crypto Anda

by

Malware pencuri crypto-wallet modular baru yang dijuluki ‘BHUNT’ telah terlihat menargetkan konten dompet cryptocurrency, kata sandi, dan frasa keamanan.

Ini adalah pencuri crypto lainnya yang ditambahkan ke tumpukan besar malware yang menargetkan mata uang digital, tetapi patut mendapat perhatian khusus karena sifatnya yang tersembunyi.

Penemuan dan analisis malware BHUNT baru berasal dari Bitdefender, yang membagikan temuan mereka dengan Bleeping Computer sebelum dipublikasikan.

Untuk menghindari deteksi dan memicu peringatan keamanan, BHUNT dikemas dan sangat dienkripsi menggunakan Themida dan VMProtect, dua pengemas mesin virtual yang menghalangi adanya reverse engineering dan analisis oleh para peneliti.

Pelaku ancaman menandatangani malware yang dapat dieksekusi dengan tanda tangan digital yang dicuri dari Piriform, pembuat CCleaner. Namun, karena pengembang malware menyalinnya dari executable yang tidak terkait, itu ditandai sebagai tidak valid karena ketidakcocokan binary.

Bitdefender menemukan bahwa BHUNT disuntikkan ke explorer.exe dan kemungkinan dikirimkan ke sistem yang disusupi melalui unduhan KMSpico, utilitas populer untuk mengaktifkan produk Microsoft secara ilegal.

Komponen utama BHUNT adalah ‘mscrlib.exe,’ yang mengekstrak modul lebih lanjut yang diluncurkan pada sistem yang terinfeksi untuk melakukan perilaku jahat yang berbeda.

Modul saat ini termasuk dalam executable ‘mscrlib.exe’ BHUNT dijelaskan di bawah ini:

  • blackjack – mencuri isi file wllet, mengkodekannya dengan basis 64, dan mengunggahnya ke server C2
  • chaos_crew – mengunduh muatan
  • golden7 – mencuri kata sandi dari clipboard dan mengunggah file ke server C2
  • Sweet_Bonanza – mencuri informasi dari browser (Chrome, IE, Firefox, Opera, Safari)
  • mrpropper – membersihkan jejak (file argumen)

Dompet yang ditargetkan adalah Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, dan Litecoin.

Selengkapnya: Bleeping Computer

Malware Perusak Menargetkan Organisasi Ukraina

by

Microsoft Threat Intelligence Center (MSTIC) telah mengidentifikasi bukti operasi malware destruktif yang menargetkan beberapa organisasi di Ukraina. Malware ini pertama kali muncul di sistem korban di Ukraina pada 13 Januari 2022.

Microsoft mengetahui peristiwa geopolitik yang sedang berlangsung di Ukraina dan wilayah sekitarnya dan mendorong organisasi untuk menggunakan informasi dalam postingan ini untuk secara proaktif melindungi dari aktivitas berbahaya apa pun.

Sementara penyelidikan berlanjut, MSTIC belum menemukan hubungan penting antara aktivitas yang diamati ini, yang dilacak sebagai DEV-0586, dan grup aktivitas lain yang diketahui.

MSTIC menilai bahwa malware, yang dirancang agar terlihat seperti ransomware tetapi tidak memiliki mekanisme pemulihan tebusan, dimaksudkan untuk merusak dan dirancang untuk membuat perangkat yang ditargetkan tidak dapat dioperasikan daripada untuk mendapatkan uang tebusan.

Saat ini dan berdasarkan visibilitas Microsoft, tim investigasi telah mengidentifikasi malware pada lusinan sistem yang terpengaruh dan jumlah itu dapat bertambah seiring investigasi kami berlanjut.

Sistem ini menjangkau beberapa organisasi pemerintah, nirlaba, dan teknologi informasi, semuanya berbasis di Ukraina. MSTIC tidak tahu tahap saat ini dari siklus operasional penyerang ini atau berapa banyak organisasi korban lainnya yang mungkin ada di Ukraina atau lokasi geografis lainnya.

Selengkapnya: Microsoft

Backdoor Baru SysJoker Menargetkan Windows, macOS, dan Linux

by

Sebuah malware backdoor multi-platform baru bernama ‘SysJoker’ telah muncul di alam liar, menargetkan Windows, Linux, dan macOS dengan kemampuan untuk menghindari deteksi pada ketiga sistem operasi.

Penemuan malware baru ini berasal dari para peneliti di Intezer yang pertama kali melihat tanda-tanda aktivitasnya pada Desember 2021 setelah menyelidiki serangan terhadap server web berbasis Linux.

Unggahan pertama sampel malware pada VirusTotal terjadi pada H2 2021, yang juga sejalan dengan waktu pendaftaran domain C2.

Analis keamanan sekarang telah menerbitkan laporan teknis terperinci tentang SysJoker, yang mereka bagikan dengan Bleeping Computer sebelum dipublikasikan.

Joker yang tidak suka menarik perhatian

Malware ini ditulis dalam C ++, dan sementara setiap varian disesuaikan untuk sistem operasi yang ditargetkan, semuanya tidak terdeteksi pada VirusTotal, situs pemindaian malware online yang menggunakan 57 mesin deteksi antivirus yang berbeda.

Pada Windows, SysJoker menggunakan dropper tahap pertama dalam bentuk DLL, yang menggunakan perintah PowerShell untuk melakukan hal berikut:

  • mengambil SysJoker ZIP dari repositori GitHub,
  • unzip pada “C:ProgramDataRecoverySystem”,
  • mengeksekusi payload.

Malware kemudian tidur hingga dua menit sebelum membuat direktori baru dan menyalin dirinya sebagai Intel Graphics Common User Interface Service (“igfxCUIService.exe”).

Selanjutnya, SysJoker akan mengumpulkan informasi tentang mesin menggunakan perintah Living off the Land (LOtL). SysJoker menggunakan file teks sementara yang berbeda untuk mencatat hasil perintah,” jelas laporan Intezer.

File teks ini segera dihapus, disimpan dalam objek JSON dan kemudian dikodekan dan ditulis ke file bernama “microsoft_Windows.dll”.

Setelah mengumpulkan data sistem dan jaringan, malware akan menciptakan kegigihan dengan menambahkan kunci registri baru (HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun). Waktu tidur acak diselingi di antara semua fungsi yang mengarah ke titik ini.

Langkah selanjutnya untuk malware adalah menjangkau server C2 yang dikendalikan aktor, dan untuk ini, ia menggunakan tautan Google Drive yang dikodekan dengan kode keras.

Tautan ini menghosting file “domain.txt” yang diperbarui oleh para aktor secara teratur untuk menyediakan server yang tersedia ke suar langsung. Daftar ini terus berubah untuk menghindari deteksi dan pemblokiran.

Informasi sistem yang dikumpulkan pada tahap pertama infeksi dikirim sebagai jabat tangan pertama ke C2. C2 menjawab dengan token unik yang berfungsi sebagai pengenal titik akhir yang terinfeksi.

Dari sana, C2 dapat menginstruksikan backdoor untuk menginstal malware tambahan, menjalankan perintah pada perangkat yang terinfeksi, atau memerintahkan backdoor untuk menghapus dirinya dari perangkat. Namun, dua instruksi terakhir itu belum dilaksanakan.

Deteksi dan pencegahan

Intezer telah memberikan indikator kompromi penuh (IOCs) dalam laporan mereka yang dapat digunakan admin untuk mendeteksi keberadaan SysJoker pada perangkat yang terinfeksi.

Di bawah ini, kami telah menguraikan beberapa IOC untuk setiap sistem operasi.

Pada Windows, file malware terletak di bawah folder “C:ProgramDataRecoverySystem”, di C:ProgramDataSystemDataigfxCUIService.exe, dan C:ProgramDataSystemDatamicrosoft_Windows.dll. Untuk ketekunan, malware menciptakan nilai Autorun “Run” dari “igfxCUIService” yang meluncurkan igfxCUIService.exe malware executable.

Di Linux, file dan direktori dibuat di bawah “/. Perpustakaan / “sementara ketekunan didirikan dengan menciptakan pekerjaan cron berikut: @reboot (/. Library/SystemServices/updateSystem).

Di macOS, file dibuat pada “/Library/” dan kegigihan dicapai melalui LaunchAgent di bawah jalur: /Library/LaunchAgents/com.apple.update.plist.

Domain C2 yang dibagikan dalam laporan Intezer adalah sebagai berikut:

https[://]bookitlab[.] Tech
https[://]winaudio-tools[.] Com
https[://]graphic-updater[.] Com
https[://]github[.] url-mini[.] Com
https[://]office360-update[.] Com
https[://]drive[.] google[.] com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
https[://]drive[.] google[.] com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

Jika Anda menemukan bahwa Anda telah dikompromikan oleh SysJoker, ikuti tiga langkah ini:

  • Matikansemua proses yang terkait dengan malware dan secara manual menghapus file.
  • Jalankan pemindai memori untuk memastikan bahwa semua file berbahaya telah dicabut dari sistem yang terinfeksi.
  • Selidiki titik masuk potensial, periksa konfigurasi firewall, dan perbarui semua alat perangkat lunak ke versi terbaru yang tersedia.

Sumber: Bleepingcomputer