Cybercriminals beralih ke pencuri informasi berbasis Go-based bernama ‘Aurora’ untuk mencuri informasi sensitif dari browser dan aplikasi cryptocurrency, mengekstraksi data langsung dari disk, dan memuat muatan tambahan.
Latar belakang peningkatan popularitas Aurora yang tiba-tiba ini adalah tingkat deteksi yang rendah dan status yang tidak diketahui secara umum, membuat infeksinya cenderung tidak terdeteksi.
Aurora menawarkan fitur pencurian data tingkat lanjut dan mungkin stabilitas infrastruktur dan fungsional.
Sejarah Aurora
Aurora pertama kali diumumkan pada April 2022 di forum berbahasa Rusia, diiklankan sebagai proyek botnet dengan fitur mencuri informasi dan akses jarak jauh yang canggih.
Namun, pada akhir Agustus 2022, SEKOIA menyadari bahwa Aurora diiklankan sebagai pencuri, sehingga proyek tersebut mengabaikan tujuannya untuk membuat alat multifungsi.
Fitur utama yang tercantum dalam postingan promosi adalah:
- Kompilasi polimorfik yang tidak memerlukan pembungkus crypter
- Dekripsi data sisi server
- Menargetkan lebih dari 40 dompet cryptocurrency
- Pengurangan frase seed otomatis untuk MetaMask
- Reverse lookup untuk pengumpulan kata sandi
- Berjalan pada soket TCP
- Berkomunikasi dengan C2 hanya sekali, selama pemeriksaan lisensi
- Muatan kecil yang sepenuhnya asli (4,2 MB) tidak memerlukan ketergantungan
Fitur-fitur di atas diarahkan pada kemampuan sembunyi-sembunyi tingkat tinggi, yang merupakan keunggulan utama Aurora dibandingkan pencuri info populer lainnya.
Biaya untuk menyewa malware ditetapkan menjadi $250 per bulan atau $1.500 untuk lisensi seumur hidup.
Analisis Pencuri
Setelah eksekusi, Aurora menjalankan beberapa perintah melalui WMIC untuk mengumpulkan informasi host dasar, mengambil gambar desktop, dan mengirimkan semuanya ke C2.
Sumber: SEKOIA
Selanjutnya, malware menargetkan data yang disimpan di beberapa browser (cookie, kata sandi, riwayat, kartu kredit), ekstensi browser cryptocurrency, aplikasi desktop dompet cryptocurrency, dan Telegram.
Aplikasi dompet desktop yang ditargetkan termasuk Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda, dan Jaxx Liberty.
Para analis mengamati pemuat malware Aurora yang menggunakan “net_http_Get” untuk menjatuhkan muatan baru ke sistem file menggunakan nama acak dan kemudian menggunakan PowerShell untuk menjalankannya.
Distribusi saat ini
Saat ini, Aurora didistribusikan kepada para korban melalui berbagai saluran, yang diharapkan dengan melibatkan tujuh operator berbeda.
SEKOIA mengetahui bahwa situs phishing mata uang kripto dipromosikan melalui email phishing dan video YouTube yang tertaut ke perangkat lunak palsu dan situs katalog curang.
Sumber : bleeping computer
