Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Rootkit Syslogk Linux baru menggunakan paket ajaib untuk memicu Backdoor

by

Malware rootkit Linux baru bernama ‘Syslogk’ sedang digunakan dalam serangan untuk menyembunyikan proses berbahaya, menggunakan “paket ajaib” yang dibuat khusus untuk membangunkan pintu belakang yang tidak aktif di perangkat.

Malware tersebut saat ini sedang dalam pengembangan berat, dan pembuatnya tampaknya mendasarkan proyek mereka pada Adore-Ng, rootkit open-source lama.

Syslogk dapat memaksa memuat modulnya ke dalam kernel Linux (versi 3.x didukung), menyembunyikan direktori dan lalu lintas jaringan, dan akhirnya memuat pintu belakang yang disebut ‘Rekoobe.’

Rootkit Linux adalah malware yang diinstal sebagai modul kernel di sistem operasi. Setelah diinstal, mereka mencegat perintah Linux yang sah untuk menyaring informasi yang tidak ingin ditampilkan, seperti keberadaan file, folder, atau proses.

Demikian pula, ketika pertama kali dimuat sebagai modul kernel, Syslogk akan menghapus entrinya dari daftar modul yang diinstal untuk menghindari pemeriksaan manual. Satu-satunya tanda kehadirannya adalah antarmuka yang terbuka di sistem file /proc.

Antarmuka Syslogk yang terbuka (Avast)

Fungsi tambahan di rootkit memungkinkannya untuk menyembunyikan direktori yang berisi file berbahaya yang dijatuhkan di host, menyembunyikan proses, menyembunyikan lalu lintas jaringan, memeriksa semua paket TCP, dan memulai atau menghentikan muatan dari jarak jauh.

Salah satu muatan tersembunyi yang ditemukan oleh Avast adalah backdoor Linux bernama Rekoobe. Pintu belakang ini akan tertidur pada mesin yang disusupi sampai rootkit menerima “paket ajaib” dari pelaku ancaman.

Mirip dengan paket ajaib Wake on LAN, yang digunakan untuk membangunkan perangkat yang berada dalam mode tidur, Syslogk akan mendengarkan paket TCP yang dibuat khusus yang menyertakan nilai bidang “Reserved” khusus, penomoran “Port Sumber”, “Port Tujuan” dan “Alamat Sumber” cocok, dan kunci hardcoded.

Ketika paket ajaib yang tepat terdeteksi, Syslogks akan memulai atau menghentikan pintu belakang seperti yang diinstruksikan oleh aktor ancaman jarak jauh, secara drastis meminimalkan kemungkinan pendeteksiannya.

Pertimbangkan betapa tersembunyinya ini; pintu belakang yang tidak dimuat sampai beberapa paket ajaib dikirim ke mesin. Saat ditanya, tampaknya itu adalah layanan sah yang tersembunyi di memori, tersembunyi di disk, dijalankan secara ‘ajaib’ dari jarak jauh, tersembunyi di jaringan. Bahkan jika ditemukan selama pemindaian port jaringan, tampaknya masih merupakan server SMTP yang sah.” – Avast.

Rekoobe dimuat ke ruang mode pengguna di mana deteksi tidak serumit atau tidak mungkin seperti untuk Syslogk pada mode kernel, jadi lebih berhati-hati dengan pemuatannya sangat penting untuk keberhasilannya.

Rekoobe didasarkan pada TinySHell, perangkat lunak open-source lain dan tersedia secara luas, dan tujuannya adalah untuk memberikan penyerang cangkang jarak jauh pada mesin yang disusupi.

Memunculkan shell root pada host (Avast)

Ini berarti bahwa Rekoobe digunakan untuk menjalankan perintah, sehingga dampaknya mencapai tingkat tertinggi, termasuk pengungkapan informasi, eksfiltrasi data, tindakan file, pengambilalihan akun, dan banyak lagi.

Rootkit Syslogk adalah contoh lain dari malware yang sangat mengelak untuk sistem Linux yang ditambahkan di atas Symbiote dan BPFDoor yang baru ditemukan, yang keduanya menggunakan sistem BPF untuk memantau lalu lintas jaringan dan memanipulasinya secara dinamis.

Sistem Linux tidak lazim di kalangan pengguna biasa, tetapi mereka mendukung beberapa jaringan perusahaan paling berharga di luar sana, sehingga pelaku ancaman meluangkan waktu dan upaya untuk mengembangkan malware khusus untuk arsitektur.

Perkembangan yang paling berbahaya adalah Syslogk merilis versi yang mendukung versi kernel Linux yang lebih baru, yang akan sangat memperluas cakupan penargetan sekaligus.

Sumber: Bleeping Computer

Microsoft: Server Exchange diretas untuk menyebarkan ransomware BlackCat

by

Microsoft mengatakan afiliasi ransomware BlackCat sekarang menyerang server Microsoft Exchange menggunakan eksploitasi yang menargetkan kerentanan yang belum ditambal.

Setidaknya dalam satu insiden yang diamati oleh pakar keamanan Microsoft, penyerang perlahan-lahan bergerak melalui jaringan korban, mencuri kredensial, dan mengekstrak informasi yang akan digunakan untuk pemerasan ganda.

Dua minggu setelah kompromi awal menggunakan server Exchange yang belum ditambal sebagai vektor entri, pelaku ancaman menyebarkan muatan ransomware BlackCat di seluruh jaringan melalui PsExec.

Meskipun tidak menyebutkan kerentanan Exchange yang digunakan untuk akses awal, Microsoft menautkan ke penasihat keamanan mulai Maret 2021 dengan panduan untuk menyelidiki dan mengurangi serangan ProxyLogon.

Selain itu, meskipun Microsoft tidak menyebutkan nama afiliasi ransomware yang menyebarkan ransomware BlackCat dalam studi kasus ini, perusahaan tersebut mengatakan beberapa kelompok kejahatan dunia maya sekarang berafiliasi dengan operasi Ransomware sebagai Layanan (RaaS) ini dan secara aktif menggunakannya dalam serangan.

Masuk melalui server Exchange yang rentan (Microsoft)

Salah satunya, kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN12, dikenal karena sebelumnya menggunakan ransomware Ryuk, Conti, dan Hive dalam serangan yang terutama menargetkan organisasi perawatan kesehatan.

Namun, seperti yang diungkapkan Mandiant, operator FIN12 jauh lebih cepat karena terkadang mereka melewatkan langkah pencurian data dan membutuhkan waktu kurang dari dua hari untuk melepaskan muatan enkripsi file mereka di seluruh jaringan target.

Ransomware BlackCat juga disebarkan oleh grup afiliasi yang dilacak sebagai DEV-0504 yang biasanya mengekstrak data yang dicuri menggunakan Stealbit, alat berbahaya yang disediakan geng LockBit kepada afiliasinya sebagai bagian dari program RaaS-nya.

DEV-0504 juga telah menggunakan jenis ransomware lain mulai Desember 2021, termasuk BlackMatter, Conti, LockBit 2.0, Revil, dan Ryuk.

Untuk mempertahankan diri dari serangan ransomware BlackCat, Microsoft menyarankan organisasi untuk meninjau postur identitas mereka, memantau akses eksternal ke jaringan mereka, dan memperbarui semua server Exchange yang rentan di lingkungan mereka sesegera mungkin.

Pada bulan April, FBI memperingatkan dalam peringatan kilat bahwa ransomware BlackCat telah digunakan untuk mengenkripsi jaringan setidaknya 60 organisasi di seluruh dunia antara November 2021 dan Maret 2022.

Namun, jumlah sebenarnya dari korban BlackCat kemungkinan besar jauh lebih tinggi mengingat lebih dari 480 sampel telah dikirimkan pada platform ID-Ransomware antara November 2021 dan Juni 2022.

Aktivitas BlackCat (ID-Ransomware)

Dalam peringatan April, FBI juga meminta admin dan tim keamanan yang mendeteksi aktivitas BlackCat dalam jaringan mereka untuk berbagi info insiden terkait dengan Pasukan Siber FBI lokal mereka.

Informasi berguna yang akan membantu melacak dan mengidentifikasi pelaku ancaman yang menggunakan ransomware ini dalam serangan mereka termasuk “Log IP yang menunjukkan panggilan balik dari alamat IP asing, alamat Bitcoin atau Monero dan ID transaksi, komunikasi dengan pelaku ancaman, file dekripsi, dan/atau sampel jinak dari file terenkripsi.”

Sumber: Bleeping Computer

Peretas Gallium keuangan backdoor, org pemerintah menggunakan malware PingPull baru

by

Kelompok peretasan yang disponsori negara Gallium telah terlihat menggunakan trojan akses jarak jauh ‘PingPull’ baru terhadap lembaga keuangan dan entitas pemerintah di Eropa, Asia Tenggara, dan Afrika.

Entitas ini berbasis di Australia, Rusia, Filipina, Belgia, Vietnam, Malaysia, Kamboja, dan Afghanistan.

Gallium diyakini berasal dari China, dan cakupan penargetannya di sektor telekomunikasi, keuangan, dan pemerintah dalam operasi spionase sejalan dengan kepentingan negara.

Dalam kampanye baru-baru ini, Gallium menggunakan RAT (trojan akses jarak jauh) baru bernama PingPull, yang menurut para analis di Unit42 (Palo Alto Networks) sangat tersembunyi.

Malware PingPull dirancang untuk memberi pelaku ancaman shell terbalik pada mesin yang disusupi, memungkinkan mereka untuk mengeksekusi perintah dari jarak jauh.

Unit42 dapat mengambil sampel tiga varian berbeda dengan fungsionalitas serupa yang menggunakan protokol komunikasi C2 yang berbeda, yaitu ICMP, HTTPS, dan TCP.

Protokol C2 yang berbeda mungkin untuk menghindari metode/alat deteksi jaringan tertentu, dengan aktor yang menyebarkan varian yang sesuai berdasarkan pengintaian awal.

Dalam ketiga kasus tersebut, malware menginstal dirinya sendiri sebagai layanan dan memiliki deskripsi yang mensimulasikan layanan yang sah, yang bertujuan untuk mencegah pengguna menghentikannya.

Perintah dan parameternya dikirim dari C2 dalam bentuk terenkripsi AES, yang dapat didekripsi oleh suar berkat sepasang kunci yang di-hardcode.

Infrastruktur yang dapat ditemukan dan ditautkan oleh Unit 42 ke operasi Gallium mencakup lebih dari 170 alamat IP, beberapa di antaranya berasal dari akhir tahun 2020.

Microsoft telah memperingatkan tentang grup tersebut pada tahun 2019, menyoroti cakupan penargetan yang terbatas pada penyedia layanan telekomunikasi pada saat itu.

Cuplikan kampanye Gallium baru-baru ini mengungkapkan RAT baru, yang menunjukkan bahwa kelompok peretasan masih merupakan ancaman yang aktif dan berkembang.

Berdasarkan laporan terbaru, Gallium telah memperluas cakupan tersebut untuk memasukkan entitas kunci pemerintah dan lembaga keuangan di Asia, Afrika, Eropa, dan Australia.

Untuk alasan ini, semua organisasi vital disarankan untuk menggunakan indikator kompromi yang disediakan dalam laporan Unit 42 untuk deteksi ancaman yang tepat waktu.

Sumber: Bleeping Computer

Hello XD ransomware sekarang menjatuhkan Backdoor saat mengenkripsi

by

Peneliti keamanan siber melaporkan peningkatan aktivitas ransomware Hello XD, yang operatornya sekarang menerapkan sampel yang ditingkatkan dengan enkripsi yang lebih kuat.

Pertama kali diamati pada November 2021, keluarga tertentu didasarkan pada kode sumber yang bocor dari Babuk dan terlibat dalam sejumlah kecil serangan pemerasan ganda di mana pelaku ancaman mencuri data perusahaan sebelum mengenkripsi perangkat.

Menurut sebuah laporan baru oleh Palo Alto Networks Unit 42, pembuat malware telah menciptakan sebuah encryptor baru yang menampilkan custom packing untuk menghindari deteksi dan perubahan algoritma enkripsi.

Ini menandai keberangkatan yang signifikan dari kode Babuk dan menyoroti niat penulis untuk mengembangkan jenis ransomware baru dengan kemampuan dan fitur unik untuk meningkatkan serangan.

Operasi ransomware Hello XD saat ini tidak menggunakan situs pembayaran Tor untuk memeras korban, melainkan menginstruksikan korban untuk memasuki negosiasi secara langsung melalui layanan obrolan TOX.

Dalam versi terbaru, operator malware telah menambahkan tautan situs bawang pada catatan tebusan yang dijatuhkan, tetapi Unit 42 mengatakan situs itu offline, jadi mungkin sedang dalam pembangunan.

Halo catatan tebusan XD, kiri lama, kanan baru (Unit 42)

Saat dijalankan, Hello XD mencoba menonaktifkan salinan bayangan untuk mencegah pemulihan sistem yang mudah dan kemudian mengenkripsi file, menambahkan ekstensi .hello ke nama file.

Selain muatan ransomware, Unit 42 juga mengamati operator Hello XD sekarang menggunakan pintu belakang sumber terbuka bernama MicroBackdoor untuk menavigasi sistem yang disusupi, mengekstrak file, menjalankan perintah, dan menghapus jejak.

Eksekusi MicroBackdoor ini dienkripsi menggunakan WinCrypt API dan disematkan di dalam muatan ransomware, sehingga langsung dijatuhkan ke sistem setelah terinfeksi.

Mendekripsi dan menjatuhkan Microbackdoor (Unit 42)

Pengemas kustom yang digunakan dalam versi kedua payload ransomware menampilkan dua lapisan kebingungan.

Penulis telah menurunkan crypter dengan memodifikasi UPX, sebuah paket open-source yang telah disalahgunakan oleh banyak pembuat malware di masa lalu.

Pengepakan UPX (kanan) dan pengemasan khusus (kiri) (Unit 42)

Dekripsi gumpalan yang disematkan melibatkan penggunaan algoritme khusus yang berisi instruksi tidak konvensional seperti XLAT, sementara panggilan API dalam pengepakan anehnya tidak dikaburkan.

Aspek paling menarik dari versi utama kedua Hello XD adalah mengganti algoritma enkripsi dari HC-128 dan Curve25519-Donna yang dimodifikasi ke Rabbit Cipher dan Curve25519-Donna.

Enkripsi babuk (kiri) dan enkripsi Hello XD 2.0 (kanan) (Unit 42)

Selain itu, penanda file di versi kedua diubah dari string yang koheren menjadi byte acak, membuat hasil kriptografi lebih kuat.

Saat ini, Hello XD adalah proyek ransomware tahap awal berbahaya yang saat ini digunakan di alam liar. Meskipun volume infeksinya belum signifikan, perkembangannya yang aktif dan terarah meletakkan dasar untuk status yang lebih berbahaya.

Unit 42 melacak asal-usulnya ke aktor ancaman berbahasa Rusia menggunakan alias X4KME, yang mengunggah tutorial tentang penggelaran Cobalt Strike Beacons dan infrastruktur berbahaya secara online.

Selain itu, peretas yang sama telah memposting di forum untuk menawarkan eksploitasi proof-of-concept (PoC), layanan crypter, distribusi Kali Linux khusus, dan layanan hosting dan distribusi malware.

Sumber: Bleeping Computer

Penyelidikan WiFi menghadapkan kepada pengguna smartphone

by

Para peneliti di Universitas Hamburg di Jerman telah melakukan percobaan lapangan yang menangkap ratusan ribu permintaan probe koneksi WiFi orang yang lewat untuk menentukan jenis data yang dikirimkan tanpa disadari oleh pemilik perangkat.

WiFi probing adalah proses standar, bagian dari komunikasi bilateral yang diperlukan antara smartphone dan titik akses (modem/router) untuk membuat koneksi.

Secara default, dan untuk alasan kegunaan, sebagian besar ponsel cerdas mencari jaringan WiFi yang tersedia sepanjang waktu, dan menyambungkannya jika dipercaya.

Banyak toko sudah menggunakan WiFi probing untuk melacak posisi dan pergerakan pelanggan mereka. Karena pelacakan ini hanya menggunakan alamat MAC yang dianonimkan dalam pemeriksaan, pelacakan ini dianggap sesuai dengan GDPR.

Para peneliti memutuskan untuk menganalisis probe tersebut untuk melihat apa lagi yang mungkin ada di dalamnya, dan dalam 23,2% kasus, mereka menemukan bahwa permintaan tersebut menyiarkan SSID dari jaringan yang terhubung dengan perangkat tersebut di masa lalu.

Eksperimen tersebut terjadi pada November 2021 di zona pejalan kaki yang sibuk di pusat kota Jerman. Tim menggunakan enam antena untuk menangkap probe di berbagai saluran dan spektrum.

Mereka merekam semua masalah koneksi WiFi yang disiarkan selama tiga jam, menangkap total 252.242 permintaan probe, 46,4% di spektrum 2.4GHz dan 53.6% di 5GHz.

Hanya dalam tiga jam, para peneliti memiliki 58.489 SSID dari orang yang lewat secara acak, yang, dalam banyak kasus, berisi string numerik dengan 16 digit atau lebih yang kemungkinan merupakan “kata sandi awal” dari router rumah populer Jerman dari FritzBox atau Telekom.

Dalam subset lain dari SSID yang ditangkap, para peneliti menemukan string yang sesuai dengan jaringan WiFi toko, 106 nama berbeda, tiga alamat email, dan 92 rumah liburan atau akomodasi yang sebelumnya ditambahkan sebagai jaringan tepercaya.

Beberapa dari string sensitif ini disiarkan puluhan, ratusan, dan dalam beberapa kasus, bahkan ribuan kali selama tiga jam perekaman melalui semburan penyelidikan yang berulang.

Tiga probe meledak dari perangkat yang sama (University of Hamburg)

Mengesampingkan paparan data dan skenario menyiapkan hotspot berbahaya dan menerima koneksi dari perangkat terdekat, implikasi utama di sini adalah pelacakan terus-menerus.

Aspek penting di depan itu adalah pengacakan alamat MAC, yang dapat bertindak sebagai pertahanan terhadap upaya pelacakan.

Meskipun telah berjalan jauh di Android dan iOS untuk membuat pelacakan perangkat lebih sulit, meskipun bukan tidak mungkin.

Versi OS yang lebih baru menampilkan lebih banyak pengacakan dan lebih sedikit informasi dalam permintaan penyelidikan, tetapi ketika dikombinasikan dengan parameter kumpulan data seperti kekuatan sinyal, nomor urut, kemampuan jaringan, dll., sidik jari perangkat individu mungkin masih dimungkinkan.

Ikhtisar fitur privasi setiap versi OS diberikan di bawah ini. Perhatikan bahwa persentase pangsa pasar mencerminkan angka November 2021.

Jelas, semakin baru versi OS, semakin kuat fitur perlindungan privasi, tetapi ketersediaan versi yang lebih baru tidak berarti adopsi instan.

Pada saat percobaan lapangan, Android 8 dan versi yang lebih lama menyumbang sekitar satu dari empat smartphone Android. Di iOS, situasinya lebih baik karena kebijakan pembaruan perangkat lunak Apple yang lebih ketat dan dukungan jangka panjang, tetapi banyak yang masih menggunakan model iPhone lama.

Studi sebelumnya juga mencerminkan peningkatan dari peningkatan bertahap ke sistem operasi yang lebih aman. Misalnya, dalam sebuah studi tahun 2014, 46,7% dari permintaan penyelidikan yang tercatat berisi SSID, dan dalam dua lainnya yang dilakukan pada tahun 2016, persentasenya berkisar antara 29,9% dan 36,4%.

Hal pertama dan paling sederhana yang dapat dilakukan pengguna ponsel cerdas adalah memutakhirkan OS mereka dan menggunakan versi yang lebih baru dan lebih aman yang menampilkan lebih banyak perlindungan privasi.

Kedua, menghapus SSID yang tidak lagi Anda gunakan atau butuhkan dan yang tidak perlu disiarkan ke mana pun Anda pergi adalah ide yang bagus.

Ketiga, Android dan iOS menawarkan cara cepat untuk menonaktifkan jaringan auto-join, membuat serangan hotspot menjadi tidak mungkin.

Terakhir, pengguna dapat sepenuhnya membungkam permintaan penyelidikan, yang dapat dilakukan melalui pengaturan jaringan lanjutan. Pendekatan ini, bagaimanapun, memiliki beberapa kelemahan praktis, seperti pembentukan koneksi yang lebih lambat, ketidakmampuan untuk menemukan jaringan tersembunyi, dan konsumsi baterai yang lebih tinggi.

Sumber: Bleeping Computer

Malware Emotet sekarang mencuri kartu kredit dari pengguna Google Chrome

by

Botnet Emotet sekarang mencoba menginfeksi calon korban dengan modul pencuri kartu kredit yang dirancang untuk mengumpulkan informasi kartu kredit yang disimpan di profil pengguna Google Chrome.

Setelah mencuri info kartu kredit (yaitu, nama, bulan dan tahun kedaluwarsa, nomor kartu), malware akan mengirimkannya ke server command-and-control (C2) yang berbeda dari yang digunakan modul pencuri kartu Emotet.

“Pada 6 Juni, Proofpoint mengamati modul Emotet baru dijatuhkan oleh botnet E4,” kata tim Proofpoint Threat Insights.

“Yang mengejutkan kami, itu adalah pencuri kartu kredit yang hanya menargetkan browser Chrome. Setelah detail kartu dikumpulkan, mereka dipindahkan ke server C2 yang berbeda dari pemuat modul.”

Perubahan perilaku ini terjadi setelah peningkatan aktivitas selama bulan April dan peralihan ke modul 64-bit, seperti yang terlihat oleh kelompok riset keamanan Cryptolaemus.

Satu minggu kemudian, Emotet mulai menggunakan file pintasan Windows (.LNK) untuk menjalankan perintah PowerShell untuk menginfeksi perangkat korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default mulai awal April 2022.

Malware Emotet dikembangkan dan disebarkan dalam serangan sebagai trojan perbankan pada tahun 2014. Malware Emotet telah berkembang menjadi botnet yang digunakan kelompok ancaman TA542 (alias Mummy Spider) untuk mengirimkan muatan tahap kedua.

Ini juga memungkinkan operatornya untuk mencuri data pengguna, melakukan pengintaian pada jaringan yang dilanggar, dan bergerak secara lateral ke perangkat yang rentan.

Emotet dikenal karena menjatuhkan muatan trojan malware Qbot dan Trickbot pada komputer korban yang disusupi, yang digunakan untuk menyebarkan malware tambahan, termasuk suar Cobalt Strike dan ransomware seperti Ryuk dan Conti.

Selengkapnya: Bleeping Computer

Operasi phishing Facebook Messenger besar-besaran menghasilkan jutaan

by

Para peneliti telah menemukan operasi phishing skala besar yang menyalahgunakan Facebook dan Messenger untuk memikat jutaan pengguna ke halaman phishing, menipu mereka agar memasukkan kredensial akun mereka dan melihat iklan.

Operator kampanye menggunakan akun curian ini untuk mengirim pesan phishing lebih lanjut ke teman-teman mereka, menghasilkan pendapatan yang signifikan melalui komisi iklan online.

Menurut PIXM, sebuah perusahaan keamanan siber yang berfokus pada AI yang berbasis di New York, kampanye tersebut mencapai puncaknya pada April-Mei 2022 tetapi telah aktif setidaknya sejak September 2021.

PIXM dapat melacak pelaku ancaman dan memetakan kampanye karena salah satu halaman phishing yang teridentifikasi menghosting tautan ke aplikasi pemantauan lalu lintas (whos.amung.us) yang dapat diakses publik tanpa autentikasi.

Meskipun tidak diketahui bagaimana kampanye awalnya dimulai, PIXM menyatakan bahwa korban tiba di halaman arahan phishing dari serangkaian pengalihan yang berasal dari Facebook Messenger.

Karena semakin banyak akun Facebook yang dicuri, pelaku ancaman menggunakan alat otomatis untuk mengirim tautan phishing lebih lanjut ke teman akun yang disusupi, menciptakan pertumbuhan besar-besaran dalam akun yang dicuri.

Sementara Facebook memiliki langkah-langkah perlindungan untuk menghentikan penyebaran URL phishing, pelaku ancaman menggunakan trik untuk melewati perlindungan ini.

Pesan phishing menggunakan layanan pembuatan URL yang sah seperti litch.me, famous.co, amaze.co, dan funnel-preview.com, yang akan menjadi masalah untuk diblokir karena aplikasi yang sah menggunakannya.

Beberapa URL yang digunakan dalam kampanye phishing (PIXM)

Setelah menemukan bahwa mereka dapat memperoleh akses yang tidak diautentikasi ke halaman statistik kampanye phishing, para peneliti menemukan bahwa pada tahun 2021, 2,7 juta pengguna telah mengunjungi salah satu portal phishing. Angka ini naik menjadi 8,5 juta pada tahun 2022, mencerminkan pertumbuhan besar-besaran dari kampanye.

Dengan menyelam lebih dalam, para peneliti mengidentifikasi 405 nama pengguna unik yang digunakan sebagai pengidentifikasi kampanye, masing-masing memiliki halaman phishing Facebook yang terpisah. Halaman phishing ini memiliki tampilan halaman mulai dari hanya 4.000 tampilan hingga jutaan, dengan satu tampilan halaman mencapai 6 juta.

Contoh pengguna diseminasi yang teridentifikasi (PIXM)

Para peneliti percaya bahwa 405 nama pengguna ini hanya mewakili sebagian kecil dari akun yang digunakan untuk kampanye.

Setelah korban memasukkan kredensial mereka di halaman arahan phishing, babak baru pengalihan dimulai, membawa mereka ke halaman iklan, formulir survei, dll.

Salah satu iklan ditampilkan kepada pengguna phishing (PIXM)

Pelaku ancaman menerima pendapatan rujukan dari pengalihan ini, yang diperkirakan mencapai jutaan USD pada skala operasi ini.

PIXM menemukan potongan kode umum di semua halaman arahan, yang berisi referensi ke situs web yang telah disita dan merupakan bagian dari penyelidikan terhadap seorang pria Kolombia yang diidentifikasi sebagai Rafael Dorado.

Situs web milik operator kampanye

Pencarian whois terbalik mengungkapkan tautan ke perusahaan pengembangan web yang sah di Kolombia dan situs lama yang menawarkan Facebook “seperti bot” dan layanan peretasan.

PIXM membagikan hasil penyelidikannya kepada Polisi Kolombia dan Interpol, tetapi seperti yang mereka ketahui, kampanye masih berlangsung, meskipun banyak URL yang diidentifikasi telah offline.

Sumber: Bleeping Computer

Malware Emotet sekarang mencuri kartu kredit dari pengguna Google Chrome

by

Botnet Emotet sekarang mencoba menginfeksi calon korban dengan modul pencuri kartu kredit yang dirancang untuk mengumpulkan informasi kartu kredit yang disimpan di profil pengguna Google Chrome.

Setelah mencuri info kartu kredit (yaitu, nama, bulan dan tahun kedaluwarsa, nomor kartu), malware akan mengirimkannya ke server command-and-control (C2) yang berbeda dari yang digunakan modul pencuri kartu Emotet.

Perubahan perilaku ini terjadi setelah peningkatan aktivitas selama bulan April dan peralihan ke modul 64-bit, seperti yang terlihat oleh kelompok riset keamanan Cryptolaemus.

Satu minggu kemudian, Emotet mulai menggunakan file pintasan Windows (.LNK) untuk menjalankan perintah PowerShell untuk menginfeksi perangkat korban, menjauh dari makro Microsoft Office yang sekarang dinonaktifkan secara default mulai awal April 2022.

Gambar: Proofpoint

Malware Emotet dikembangkan dan disebarkan dalam serangan sebagai trojan perbankan pada tahun 2014. Malware Emotet telah berkembang menjadi botnet yang digunakan kelompok ancaman TA542 (alias Mummy Spider) untuk mengirimkan muatan tahap kedua.

Ini juga memungkinkan operatornya untuk mencuri data pengguna, melakukan pengintaian pada jaringan yang dilanggar, dan bergerak secara lateral ke perangkat yang rentan.

Emotet dikenal karena menjatuhkan muatan trojan malware Qbot dan Trickbot pada komputer korban yang disusupi, yang digunakan untuk menyebarkan malware tambahan, termasuk suar Cobalt Strike dan ransomware seperti Ryuk dan Conti.

Pada awal tahun 2021, infrastruktur Emotet diturunkan dalam tindakan penegakan hukum internasional yang juga berujung pada penangkapan dua orang.

Penegakan hukum Jerman menggunakan infrastruktur Emotet sendiri untuk melawan botnet, mengirimkan modul yang menghapus malware dari perangkat yang terinfeksi pada 25 April 2021.

Botnet kembali pada November 2021 menggunakan infrastruktur TrickBot yang sudah ada ketika grup riset Emotet Cryptolaemus, perusahaan keamanan komputer GData, dan perusahaan keamanan siber Advanced Intel semuanya mendeteksi malware TrickBot yang digunakan untuk mendorong pemuat Emotet.

Sumber: Bleeping Computer