Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Adobe PDF

Adobe PDF

Malware Escanor dikirimkan dalam dokumen Microsoft Office yang dipersenjatai

by

Resecurity, sebuah perusahaan keamanan siber berbasis di Los Angeles yang melindungi Fortune 500 di seluruh dunia, mengidentifikasi RAT (Alat Administrasi Jarak Jauh) baru yang diiklankan di Dark Web dan Telegram bernama Escanor.

Pelaku ancaman menawarkan RAT versi Android dan berbasis PC, bersama dengan modul HVNC dan pembuat eksploitasi untuk mempersenjatai dokumen Microsoft Office dan Adobe PDF untuk mengirimkan kode berbahaya.

Alat ini telah dirilis untuk dijual pada tanggal 26 Januari tahun ini pada awalnya sebagai implan HVNC kompak yang memungkinkan untuk mengatur koneksi jarak jauh senyap ke komputer korban, dan kemudian diubah menjadi RAT komersial skala penuh dengan rangkaian fitur yang kaya.

Escanor telah membangun reputasi yang kredibel di Dark Web, dan menarik lebih dari 28.000 pelanggan di saluran Telegram. Di masa lalu, aktor dengan moniker yang persis sama merilis versi ‘crack’ dari alat Web Gelap lainnya, termasuk Venom RAT, 888 RAT, dan Pandora HVNC yang kemungkinan digunakan untuk memperkaya fungsionalitas Escanor lebih lanjut.

Escanor versi seluler (juga dikenal sebagai “Esca RAT”) secara aktif digunakan oleh penjahat dunia maya untuk menyerang pelanggan perbankan online dengan mencegat kode OTP. Alat ini dapat digunakan untuk mengumpulkan koordinat GPS korban, memantau penekanan tombol, mengaktifkan kamera tersembunyi, dan menelusuri file di perangkat seluler jarak jauh untuk mencuri data.

Sebagian besar sampel yang terdeteksi baru-baru ini telah dikirim menggunakan Escanor Exploit Builder. Para aktor menggunakan dokumen umpan yang meniru faktur dan pemberitahuan dari layanan online populer.

Khususnya, nama domain ‘escanor[.]live’ sebelumnya telah diidentifikasi sehubungan dengan infrastruktur AridViper (APT-C-23 / GnatSpy). APT-C-23 sebagai kelompok aktif di kawasan Timur Tengah, yang dikenal secara khusus menargetkan aset militer Israel. Setelah laporan dirilis oleh Qihoo 360, aktor Escanor RAT telah merilis video yang merinci bagaimana alat tersebut dapat digunakan untuk melewati deteksi AV.

Mayoritas korban yang terinfeksi oleh Escanor telah diidentifikasi di AS, Kanada, UEA, Arab Saudi, Kuwait, Bahrain, Mesir, Israel, Meksiko, dan Singapura dengan beberapa infeksi di Asia Tenggara.

Sumber: Bleeping Computer

Sekarang Emotet Menyebar Melalui Paket Adobe Windows App Installer Palsu

by Leave a Comment

Malware Emotet sekarang terdistribusi melalui paket Windows App Installer berbahaya yang berpura-pura menjadi perangkat lunak Adobe PDF.

Emotet adalah infeksi malware terkenal yang menyebar melalui email phishing dan lampiran berbahaya. Setelah terinstal, ia akan mencuri email korban untuk kampanye spam lainnya dan menyebarkan malware, seperti TrickBot dan Qbot, yang biasanya menyebabkan serangan ransomware.

Aktor ancaman di belakang Emotet sekarang menginfeksi sistem dengan menginstal paket berbahaya menggunakan fitur bawaan Windows 10 dan Windows 11 yang disebut App Installer.

Para peneliti sebelumnya melihat metode yang sama digunakan untuk mendistribusikan malware BazarLoader di mana ia menginstal paket berbahaya yang dihosting di Microsoft Azure.

Emotet adalah malware yang paling banyak didistribusikan di masa lalu sampai operasi penegakan hukum ditutup dan merebut infrastruktur botnet. Sepuluh bulan kemudian, Emotet bangkit kembali dengan bantuan trojan TrickBot.

Sehari kemudian, kampanye spam Emotet dimulai, dengan email berisi berbagai umpan dan dokumen berbahaya yang menginstal malware.

Kampanye ini telah memungkinkan Emotet untuk membangun kehadirannya dengan cepat, dan sekali lagi, melakukan kampanye phishing skala besar yang menginstal TrickBot dan Qbot.

Kampanye emotet biasanya mengarah pada serangan ransomware. Admin Windows harus tetap berhati-hati dan melatih karyawan untuk melihat kampanye Emotet.

Selengkapnya: Bleepingcomputer