Trojan

File PowerPoint Berbahaya Digunakan untuk Mendorong Trojan Akses Jarak Jauh

January 25, 2022 by Eevee

Sejak Desember 2021, tren yang berkembang dalam kampanye phishing telah muncul yang menggunakan dokumen PowerPoint berbahaya untuk mendistribusikan berbagai jenis malware, termasuk akses jarak jauh dan trojan pencuri informasi.

Menurut sebuah laporan oleh Netskope’s Threat Labs yang dibagikan dengan Bleeping Computer sebelum dipublikasikan, para aktor menggunakan file PowerPoint yang dikombinasikan dengan layanan cloud yang sah yang meng-host muatan malware.

Keluarga yang dikerahkan dalam kampanye yang dilacak adalah Warzone (alias AveMaria) dan AgentTesla, dua RAT yang kuat dan pencuri info yang menargetkan banyak aplikasi, sementara para peneliti juga melihat jatuhnya pencuri cryptocurrency.

Geser malware ke perangkat Windows

Lampiran phishing PowerPoint yang berbahaya berisi makro yang dikaburkan yang dieksekusi melalui kombinasi PowerShell dan MSHTA, keduanya alat Windows bawaan.

Skrip VBS kemudian didefuscated dan menambahkan entri registri Windows baru untuk ketekunan, yang mengarah ke eksekusi dua skrip. Yang pertama mengambil AgentTesla dari URL eksternal, dan yang kedua menonaktifkan Windows Defender.

Selain itu, VBS menciptakan tugas terjadwal yang mengeksekusi skrip setiap jam, yang mengambil pencuri cryptocurrency PowerShell dari URL Blogger.

Muatan kedua yang disampaikan dalam kampanye ini adalah Warzone, juga RAT, tetapi Netskope tidak memberikan banyak rincian tentang hal itu dalam laporan.

Pencuri cryptocurrency adalah muatan ketiga dari kampanye ini, yang memeriksa data clipboard dengan regex yang sesuai dengan pola dompet cryptocurrency. Jika ditemukan, itu menggantikan alamat penerima dengan satu di bawah kendali aktor.

Pencuri mendukung Bitcoin, Ethereum, XMR, DOGE, dan banyak lagi. Netskope telah menerbitkan daftar lengkap IoCs (indikator kompromi) untuk kampanye ini, termasuk semua dompet yang digunakan oleh para aktor di halaman GitHub ini.

Selengkapnya: Bleepingcomputer

Lebih dari 300.000 pengguna Android telah mengunduh aplikasi malware trojan perbankan ini

November 30, 2021 by Eevee

Dirinci oleh peneliti ThreatFabric, empat bentuk malware yang berbeda dikirimkan ke korban melalui versi berbahaya dari aplikasi yang biasa diunduh, termasuk pemindai dokumen, pembaca kode QR, pemantau kebugaran, dan aplikasi cryptocurrency. Aplikasi sering datang dengan fungsi yang diiklankan untuk menghindari pengguna curiga.

Dalam setiap kasus, pengiriman malware hanya dimulai setelah aplikasi diinstal sehingga memungkinkan mereka untuk melewati deteksi Play Store.

Yang paling produktif dari empat keluarga malware adalah Anatsa, yang telah diinstal oleh lebih dari 200.000 pengguna Android – peneliti menggambarkannya sebagai trojan perbankan yang dapat mencuri nama pengguna dan kata sandi, dan menggunakan pencatatan aksesibilitas untuk menangkap semua yang ditampilkan di layar pengguna , sementara keylogger memungkinkan penyerang untuk merekam semua informasi yang dimasukkan ke dalam telepon.

Salah satu aplikasi ini adalah pemindai kode QR yang telah dipasang oleh 50.000 pengguna saja dan halaman unduhan menampilkan sejumlah besar ulasan positif, sesuatu yang dapat mendorong orang untuk mengunduh aplikasi. Pengguna diarahkan ke aplikasi melalui email phishing atau kampanye iklan berbahaya.

Setelah pengunduhan awal, pengguna dipaksa untuk memperbarui aplikasi untuk terus menggunakannya – pembaruan inilah yang menghubungkan ke server perintah dan kontrol dan mengunduh muatan Anatsa ke perangkat, memberikan penyerang sarana untuk mencuri detail perbankan dan informasi lainnya.

Keluarga malware paling produktif kedua yang dirinci oleh para peneliti di ThreatFabric adalah Alien, trojan perbankan Android yang juga dapat mencuri kemampuan otentikasi dua faktor dan yang telah aktif selama lebih dari setahun. Malware telah menerima 95.000 instalasi melalui aplikasi berbahaya di Play Store.

Salah satunya adalah aplikasi gym dan pelatihan kebugaran yang ketika dilengkapi dengan situs web pendukung yang dirancang untuk meningkatkan legitimasi, tetapi pemeriksaan ketat terhadap situs tersebut mengungkapkan teks placeholder di mana-mana. Situs web ini juga berfungsi sebagai pusat komando dan kendali untuk malware Alien.

Seperti Anasta, unduhan awal tidak mengandung malware, tetapi pengguna diminta untuk menginstal pembaruan palsu – menyamar sebagai paket rezim kebugaran baru – yang mendistribusikan muatan.

Dua bentuk malware lainnya yang telah dijatuhkan menggunakan metode serupa dalam beberapa bulan terakhir adalah Hydra dan Ermac, yang memiliki total gabungan setidaknya 15.000 unduhan. ThreatFabric telah menautkan Hydra dan Ermac ke Brunhilda, kelompok kriminal dunia maya yang diketahui menargetkan perangkat Android dengan malware perbankan.

ThreatFabric telah melaporkan semua aplikasi berbahaya ke Google dan mereka telah dihapus atau sedang ditinjau.

“Aturan praktis yang baik adalah selalu memeriksa pembaruan dan selalu sangat berhati-hati sebelum memberikan hak aksesibilitas layanan – yang akan diminta oleh muatan berbahaya, setelah “pembaruan” instalasi – dan waspada terhadap aplikasi yang meminta untuk menginstal perangkat lunak tambahan, ” ucap Durando.

ZDNet

QBot kembali untuk gelombang infeksi baru menggunakan Squirrelwaffle

November 16, 2021 by Eevee

Aktivitas trojan perbankan QBot (juga dikenal sebagai Quakbot) melonjak lagi, Beberapa perusahaan riset keamanan mengaitkannya dengan munculnya Squirrelwaffle.

Squirrelwaffle muncul mengisi kekosongan yang ditinggalkan oleh penghapusan Emotet, prediksi ini dengan cepat dikonfirmasi.

TrendMicro telah mengamati kampanye distribusi baru untuk QBot yang mengandalkan makro Visual Basic Macros (VBA) dalam dokumen Microsoft Word yang dikirim sebagai lampiran dalam email phishing.

Semua variasi kedatangan QBot
Sumber: TrendMicro

Korban masih harus membuka dokumen secara manual dan “Aktifkan Konten” di suite Microsoft Office mereka untuk membiarkan kode makro berjalan, menjatuhkan muatan QBot pada sistem.

Qbot juga dikenal bermitra dengan operasi ransomware untuk memberi mereka akses awal ke jaringan. QBot sebelumnya telah berkolaborasi dengan geng ransomware untuk menyebarkan strain REvil, Egregor, ProLock, PwndLocker, dan MegaCortex.

Kita tidak boleh lupa bahwa bahkan jika kompromi ini tidak pernah berkembang menjadi peristiwa enkripsi file, QBot dapat melakukan kerusakan signifikan dengan sendirinya.

Modul tambahan yang diunduh oleh malware QBot dapat mengambil cookie browser, kata sandi, email, menjatuhkan Cobalt Strike, mengaktifkan gerakan lateral, dan mengubah mesin yang terinfeksi menjadi proxy untuk lalu lintas C2.

Sentinel Labs menerbitkan munculnya pemuat malware SquirrelWaffle, menghubungkannya langsung ke QBot, yang dijatuhkan sebagai malware tahap kedua. Para peneliti di Minerva Labs juga telah menarik kesimpulan serupa, Lihat skema pengiriman berikut:

Rantai infeksi SquirrelWaffle
Sumber: Minerva Labs

SquirrelWaffle juga menggunakan makro VBA untuk menjalankan perintah PowerShell yang mengambil muatannya dan meluncurkannya.

Pembuatan email phishing yang lebih meyakinkan dapat dialihdayakan atau diselesaikan dengan cepat dengan menghubungi ahli di bagian operasi phishing tersebut, yang menyebabkan jumlah infeksi SquirrelWaffle yang lebih signifikan.

Selengkapnya : Bleeping Computer

SharkBot: generasi baru Trojan Android menargetkan bank di Eropa

November 13, 2021 by Søren

Pada akhir Oktober 2021, trojan perbankan Android baru ditemukan dan dianalisis oleh tim Cleafy TIR. Karena tim peneliti tidak menemukan referensi ke keluarga yang dikenal, tim peneliti memutuskan untuk menjuluki keluarga baru ini SharkBot.

Tujuan utama SharkBot adalah untuk memulai transfer uang dari perangkat yang disusupi melalui teknik Sistem Transfer Otomatis (ATS) melewati mekanisme otentikasi multi-faktor (mis., SCA).

Mekanisme ini digunakan untuk menegakkan verifikasi dan otentikasi identitas pengguna, biasanya dikombinasikan dengan teknik deteksi perilaku untuk mengidentifikasi transfer uang yang mencurigakan.

Tim peneliti mengidentifikasi botnet yang saat ini menargetkan Inggris, Italia, dan AS, termasuk aplikasi perbankan dan pertukaran mata uang kripto. Mengingat arsitektur modularitasnya, tim peneliti tidak mengecualikan keberadaan botnet dengan konfigurasi dan target lain.

Setelah SharkBot berhasil dipasang di perangkat korban, penyerang dapat memperoleh informasi perbankan sensitif melalui penyalahgunaan Layanan Aksesibilitas, seperti kredensial, informasi pribadi, saldo saat ini, dll., tetapi juga untuk melakukan gerakan pada perangkat yang terinfeksi.

Pada saat penulisan, SharkBot tampaknya memiliki tingkat deteksi yang sangat rendah oleh solusi antivirus karena beberapa teknik anti-analisis telah diterapkan: string obfuscation routine, deteksi emulator, dan algoritme pembuatan domain (DGA) untuk komunikasi jaringannya selain fakta bahwa malware telah ditulis dari awal.

SharkBot mengimplementasikan serangan Overlay untuk mencuri kredensial login dan informasi kartu kredit dan juga memiliki kemampuan untuk mencegat komunikasi perbankan yang sah yang dikirim melalui SMS.

Pada saat penulisan, beberapa indikator menunjukkan bahwa SharkBot dapat berada pada tahap awal pengembangannya.

Selengkapnya: Cleafy

Mekotio Versi Lebih Tersembunyi Terlihat di Alam Bebas

November 9, 2021 by Eevee Leave a Comment

Trojan perbankan versi baru Mekotio sedang digunakan di alam bebas. Analis malware melaporkan bahwa itu menggunakan aliran infeksi baru yang lebih tersembunyi.

Aktivitas penting terakhir dari Mekotio dimulai pada musim panas 2020 ketika operator trojan menyebarkannya dalam kampanye yang menargetkan negara-negara Amerika Latin.

Aliran serangan baru

Infeksi dimulai dengan email phishing (berupa paket lampiran ZIP yang berisi skrip batch yang gak jelas) yang menjalankan skrip PowerShell.

Setelah skrip PowerShell masuk, skrip akan mengunduh arsip ZIP kedua setelah beberapa lokasi dasar dan pemeriksaan anti-analisis.

Jika pemeriksaan mengkonfirmasi korban berada di Amerika Latin dan malware tidak berjalan di mesin virtual, ZIP kedua yang berisi muatan Mekotio dalam bentuk DLL akan diekstraksi.

Alur serangan multi-langkah seperti di atas mungkin tampak tidak perlu rumit, tetapi mereka diperlukan untuk menghindari deteksi dan berhasil menyebarkan muatan akhir.

Salah satu keuntungan dari serangan modular adalah kemampuan tambahan untuk membuat perubahan halus yang membuat metode deteksi sebelumnya tidak berguna.

Inilah yang terjadi dalam pengembangan Mekotio, karena kode trojan sebagian besar tetap tidak berubah, dengan pembuatnya sebagian besar mengubah banyak hal daripada menambahkan kemampuan baru.

Kode lama dalam bungkus baru

Tiga elemen baru yang membuat versi Mekotio terbaru lebih sulit dideteksi adalah sebagai berikut:

File batch yang lebih tersembunyi dengan setidaknya dua lapisan kebingungan
Skrip PowerShell tanpa file baru yang berjalan langsung di memori
Penggunaan Themida v3 untuk mengemas muatan DLL akhir

Tujuan utama trojan tidak lain untuk mencuri kredensial e-banking dan kata sandi akun orang-orang.

Beberapa varian Mekotio sebelumnya juga dapat membajak pembayaran cryptocurrency dan mengarahkannya ke dompet yang dikendalikan aktor, tetapi versi terbaru telah menghapus fungsi ini.

Tahun lalu, ESET menandai trojan khusus ini “kacau” karena pengembangan bersamaan yang menghasilkan sirkulasi bersamaan untuk setiap variannya.

Aktivitas itu kini telah berkurang, dan aktivitas terbaru menggunakan varian yang dianalisis oleh CheckPoint.

Sumber: Bleepingcomputer

Trojan Perbankan Mekotio Muncul Kembali Dengan Kode Yang Diubah, Kampanye Tersembunyi

November 6, 2021 by Søren

Trojan perbankan Amerika Latin Mekotio bangkit kembali setelah beberapa geng yang mengoperasikannya ditangkap di Spanyol. Lebih dari 100 serangan dalam beberapa minggu terakhir telah menampilkan rutinitas infeksi baru, yang menunjukkan bahwa kelompok tersebut terus secara aktif memperlengkapi kembali.

“Kampanye baru dimulai tepat setelah Pengawal Sipil Spanyol mengumumkan penangkapan 16 orang yang terlibat dengan distribusi Mekotio [alias Metamorfo] pada bulan Juli,” menurut Check Point Research (CPR). “Tampaknya komplotan di belakang malware mampu mempersempit celah dengan cepat dan mengubah taktik untuk menghindari deteksi.”

Mekotio, seperti trojan perbankan Amerika Latin lainnya, mencuri login perbankan online dan kredensial keuangan lainnya dari korban yang tidak menaruh curiga. Tapi mereka terus berkembang untuk menghindari deteksi.

Dalam kasus ini, vektor infeksi Mekotio yang diperbarui mengandung “elemen yang belum pernah terjadi sebelumnya” untuk menjaga tingkat deteksi tetap rendah, menurut analisis perusahaan, yang dikeluarkan Rabu.

Hal tersebut adalah:File batch tersembunyi dengan setidaknya dua lapisan kerumitan; Skrip PowerShell tanpa file baru yang berjalan langsung di memori;Penggunaan Themida v3 untuk mengemas muatan DLL akhir.

“Dalam tiga bulan terakhir, kami melihat sekitar 100 serangan menggunakan teknik kebingungan baru yang sederhana, dengan bantuan sandi substitusi, untuk menyembunyikan modul serangan pertama,” menurut CPR. “Teknik kebingungan sederhana ini memungkinkannya untuk tidak terdeteksi oleh sebagian besar produk antivirus.”

Selengkapnya: Threat Post

Mod WhatsApp berbahaya menginfeksi perangkat Android dengan malware

August 26, 2021 by Winnie the Pooh

Versi jahat dari mod FMWhatsappWhatsApp memberikan muatan Triadatrojan, kejutan buruk yang menginfeksi perangkat mereka dengan malware tambahan, termasuk trojan xHelper yang sangat sulit dihapus.

FMWhatsApp berjanji untuk meningkatkan pengalaman pengguna WhatsApp dengan fitur tambahan seperti privasi yang lebih baik, tema obrolan khusus, akses ke paket emoji jejaring sosial lain, dan penguncian aplikasi menggunakan PIN, kata sandi, atau touch ID.

Namun, seperti yang ditemukan oleh peneliti Kaspersky, versi FMWhatsapp 16.80.0 juga akan menginstall trojan Triada di perangkat pengguna dengan bantuan SDK iklan.

“Aplikasi ini tersedia di beberapa situs distribusi mod WhatsApp populer. Kami tidak dapat membagikan tautan ke sana,” kata pakar keamanan Kaspersky Igor Golovin kepada BleepingComputer.

“Untuk [kloning FMWhatsApp] di Google Play – aplikasi ini biasanya hanya berisi berbagai iklan dan menginstruksikan pengguna tentang cara mengunduh dan menginstal mod, sementara sebenarnya tidak mengandung mod jahat itu sendiri.”

Setelah diinstal, Triada mulai mengumpulkan informasi perangkat dan mengirimkannya ke server perintah-dan-kontrolnya, yang membalas dengan tautan ke muatan tambahan yang akan diunduh dan diluncurkan trojan pada perangkat Android yang disusupi.

Malware yang dijatuhkan oleh Triada di perangkat Android pengguna FMWhatsApp dapat dengan mudah mendaftarkan mereka ke langganan premium mengingat aplikasi tersebut meminta akses ke pesan teks korban saat diinstal.

Di antara malware yang dikirimkan oleh Triada, xHelper sangat menonjol melalui kemampuannya yang luar biasa untuk menginfeksi ulang perangkat Android beberapa jam setelah dihapus atau setelah perangkat yang terinfeksi direset ke pengaturan pabrik.

Selengkapnya: Bleeping Computer

Virus ‘Joker’ telah kembali ke Android: mengosongkan rekening bank Anda tanpa Anda sadari dan bersembungi di aplikasi ini di Google Play Store

August 24, 2021 by Winnie the Pooh

Polisi Belgia memperingatkan tentang kembalinya virus ‘Joker’, yang menyerang perangkat Android dan bersembunyi di berbagai aplikasi di Google Play Store. Malware ini mampu membuat pengguna berlangganan layanan pembayaran tanpa seizin mereka dan mengosongkan rekening bank mereka tanpa mereka sadari.

Malware ‘Joker’ menjadi terkenal pada tahun 2017 karena menginfeksi dan merampok korbannya dengan bersembunyi di berbagai aplikasi. Sejak itu, sistem pertahanan Google Play Store telah menghapus sekitar 1.700 aplikasi dengan malware ‘Joker’ sebelum diunduh oleh pengguna.

Virus Trojan ‘Joker’ milik keluarga malware yang dikenal sebagai Bread , yang tujuannya adalah untuk meretas tagihan ponsel dan mengotorisasi operasi tanpa persetujuan pengguna.

Peneliti dari perusahaan cybersecurity Quick Heal Security Lab, yang dikutip dalam pernyataan tersebut, menjelaskan bahwa virus ini dapat memasukkan pesan teks, kontak, dan informasi lain di smartphone yang terinfeksi.

Apa yang membuat malware ini lebih berbahaya adalah kemampuannya untuk melakukan langganan pengguna Android yang terpengaruh ke layanan berbayar, biasanya versi Premium atau yang paling mahal, tanpa izin sebelumnya.

Pada kesempatan ini, aplikasi berbahaya yang dihapus di Google Play Store setelah mendeteksi bahwa mereka mengandung virus ‘Joker’ adalah:

Auxiliary Message
Element Scanner
Fast Magic SMS
Free CamScanner
Go Messages
Super Message
Super SMS
Travel Wallpapers

Namun, spesialis lain memperingatkan bahwa lebih banyak aplikasi yang terpengaruh dan, oleh karena itu, jutaan pengguna yang tidak tahu bahwa mereka telah menjadi korban penipuan dunia maya ini.

Selengkapnya: Entrepreneur

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Trojan

Geser malware ke perangkat Windows

Aliran serangan baru

Kode lama dalam bungkus baru

Cookies Settings