Check Point

Kampanye malware baru yang menyamar sebagai program pengunduh Google Translate atau MP3 ditemukan mendistribusikan malware penambangan cryptocurrency di 11 negara.

Menurut laporan Check Point, malware tersebut dibuat oleh pengembang bernama ‘Nitrokod’, yang pada awalnya tampak bersih dari malware dan menyediakan fungsionalitas yang diiklankan.

Namun, Check Point mengatakan perangkat lunak itu sengaja menunda pemasangan komponen malware berbahaya hingga satu bulan untuk menghindari deteksi.

Sayangnya, penawaran Nitrokod berperingkat tinggi dalam hasil Google Penelusuran, sehingga situs web tersebut bertindak sebagai jebakan yang sangat baik bagi pengguna yang mencari utilitas tertentu.

Selain itu, applet Google Terjemahan Nitrokod juga diunggah di Softpedia, yang mencapai lebih dari 112.000 unduhan.

Aplikasi malware di Softpedia (Check Point)

Terlepas dari program mana yang diunduh dari situs web Nitrokod, pengguna menerima RAR yang dilindungi kata sandi yang menghindari deteksi AV dan berisi executable yang dinamai sesuai dengan aplikasi yang dipilih.

Setelah menjalankan file, perangkat lunak diinstal pada sistem pengguna bersama dengan dua kunci registri.

Untuk menghindari kecurigaan dan untuk menggagalkan analisis Sandbox, perangkat lunak mengaktifkan penetes dari file RAR terenkripsi lain yang diambil melalui Wget pada hari kelima infeksi.

Selanjutnya, perangkat lunak menghapus semua log sistem menggunakan perintah PowerShell dan, setelah 15 hari, mengambil RAR terenkripsi berikutnya dari “intelserviceupdate[.]com.”

Dropper tahap berikutnya memeriksa keberadaan perangkat lunak antivirus, mencari proses yang mungkin dimiliki oleh mesin virtual, dan akhirnya menambahkan aturan firewall dan pengecualian ke Windows Defender.

Sekarang perangkat telah disiapkan untuk muatan terakhir, program memuat penetes terakhir, yang mengambil file RAR lain yang berisi malware penambangan XMRig, pengontrolnya, dan file “.sys” yang memiliki pengaturannya.

Malware menentukan apakah itu berjalan di desktop atau laptop, kemudian terhubung ke C2-nya (“nvidiacenter[.]com”) dan mengirimkan laporan sistem host lengkap melalui permintaan HTTP POST.

Akhirnya, C2 merespons dengan instruksi seperti apakah akan mengaktifkan, berapa banyak daya CPU yang digunakan, kapan harus melakukan ping ke C2 lagi, atau program apa yang harus diperiksa dan keluar jika ditemukan.

Diagram rantai serangan lengkap (Check Point)

Malware penambangan kripto dapat menjadi risiko karena dapat merusak perangkat keras dengan menyebabkan tekanan dan panas berlebih pada perangkat keras, dan dapat memengaruhi kinerja komputer Anda dengan menggunakan sumber daya CPU tambahan.

Selain itu, malware dropper yang ditemukan oleh Check Point dapat menukar muatan akhir dengan sesuatu yang jauh lebih berbahaya kapan saja.

Untuk melindungi diri Anda, hindari mengunduh aplikasi yang menjanjikan fungsionalitas yang tidak dirilis secara resmi oleh pengembang asli, seperti versi desktop dari alat terjemahan Google.

Sumber: Bleeping Computer

LinkedIn masih memegang posisi teratas sebagai Brand yang paling banyak ditiru dalam kampanye phishing yang diamati selama kuartal kedua tahun 2022.

Data statistik dari perusahaan keamanan siber, Check Point, menunjukkan bahwa platform sosial untuk para profesional tersebut berada di urutan teratas daftar untuk kuartal kedua berturut-turut.

Brand yang paling banyak ditiru oleh pelaku phishing di Q2 2022 (Check Point)

Dibandingkan dengan kuartal pertama tahun ini, peniruan identitas LinkedIn turun dari 52% menjadi 45%. Namun, ia mempertahankan jarak yang cukup jauh dari merek kedua yang paling banyak ditiru oleh penipu, yaitu Microsoft yang saat ini sebesar 13%.

Tema sentral dalam email Microsoft palsu adalah permintaan untuk memverifikasi akun Outlook untuk mencuri nama pengguna dan kata sandi.

DHL saat ini memegang posisi ketiga dalam daftar dengan 12%, turun dari 14%.

Sedangkan Amazon naik ke posisi keempat, melompat dari 2% pada Q1 2022 menjadi 9% pada kuartal ini, sementara Apple mengikuti di tempat kelima dengan 3%; juga meningkat signifikan dibandingkan dengan 0,8% kuartal lalu.

Dalam kasus Amazon, email phishing berusaha mencuri informasi penagihan target, termasuk data kartu kredit lengkap, kata para peneliti.

Seperti yang dijelaskan oleh Check Point dalam laporannya, kampanye phishing menggunakan email LinkedIn palsu mencoba untuk meniru pesan umum dari platform kepada penggunanya, seperti “Anda muncul di 8 pencari minggu ini”, atau “Anda memiliki satu pesan baru.”

Alamat pengirim dipalsukan agar muncul seolah-olah pesan itu otomatis atau berasal dari dukungan atau bahkan departemen keamanan.

Beberapa umpan yang digunakan dalam kampanye ini termasuk promosi palsu untuk layanan LinkedIn Pro, pembaruan kebijakan palsu, atau bahkan ancaman penghentian akun untuk “pelanggan yang belum diverifikasi.”

Mereka semua mengarah ke halaman web phishing di mana para korban diminta untuk memasukkan kredensial LinkedIn mereka, memungkinkan pelaku ancaman untuk mengambil alih akun.

Halaman web login palsu LinkedIn (Check Point)

Dengan akses ke akun LinkedIn, pelaku ancaman dapat menyebarkan kampanye phishing yang ditargetkan untuk menjangkau rekan kerja korban atau individu berharga di jaringan koneksi mereka.

Alasan lain untuk menargetkan akun LinkedIn adalah bahwa mereka dapat digunakan untuk menyiapkan kampanye tawaran pekerjaan palsu. Dalam contoh baru-baru ini, peretas Korea Utara dapat mengelabui seorang karyawan video game online berbasis token agar mengunduh PDF berbahaya yang memungkinkan aktor ancaman mencuri cryptocurrency senilai $620 juta.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Check Point

Cookies Settings