Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Malware

Malware

Microsoft: Windows, Adobe zero-days digunakan untuk menyebarkan malware Subzero

by

Microsoft telah menghubungkan kelompok ancaman yang dikenal sebagai Knotweed ke vendor spyware Austria yang juga beroperasi sebagai tentara bayaran cyber bernama DSIRF yang menargetkan entitas Eropa dan Amerika Tengah menggunakan perangkat malware yang dijuluki Subzero.

Di situs webnya, DSIRF mempromosikan dirinya sebagai perusahaan yang menyediakan penelitian informasi, forensik, dan layanan intelijen berbasis data kepada perusahaan.

Namun, itu telah dikaitkan dengan pengembangan malware Subzero yang dapat digunakan pelanggannya untuk meretas ponsel, komputer, dan jaringan serta perangkat yang terhubung ke internet target.

Menggunakan data DNS pasif saat menyelidiki serangan Knotweed, firma intelijen ancaman RiskIQ juga menemukan bahwa infrastruktur yang secara aktif melayani malware sejak Februari 2020 terkait dengan DSIRF, termasuk situs web dan domain resminya yang kemungkinan digunakan untuk men-debug dan mementaskan malware Subzero.

Microsoft Threat Intelligence Center (MSTIC) juga telah menemukan banyak tautan antara DSIRF dan alat berbahaya yang digunakan dalam serangan Knotweed.

Beberapa serangan Knotweed yang diamati oleh Microsoft telah menargetkan firma hukum, bank, dan organisasi konsultan strategis di seluruh dunia, termasuk Austria, Inggris, dan Panama.

Pada perangkat yang disusupi, penyerang menyebarkan Corelump, muatan utama yang berjalan dari memori untuk menghindari deteksi, dan Jumplump, pemuat malware yang sangat disamarkan yang mengunduh dan memuat Corelump ke dalam memori.

Payload Subzero utama memiliki banyak kemampuan, termasuk keylogging, menangkap tangkapan layar, mengekstrak data, dan menjalankan shell jarak jauh dan plugin arbitrer yang diunduh dari server perintah-dan-kontrolnya.

Pada sistem di mana Knotweed menyebarkan malware-nya, Microsoft telah mengamati berbagai tindakan pasca-kompromi, termasuk:

  • Pengaturan UseLogonCredential ke “1” untuk mengaktifkan kredensial teks biasa
  • Pembuangan kredensial melalui comsvcs.dll
  • Mencoba mengakses email dengan kredensial yang dibuang dari alamat IP KNOTWEED
  • Menggunakan Curl untuk mengunduh perkakas KNOTWEED dari berbagi file publik seperti vultrobjects[.]com
  • Menjalankan skrip PowerShell langsung dari inti GitHub yang dibuat oleh akun yang terkait dengan DSIRF
  • Di antara zero-days yang digunakan dalam kampanye Knotweed, Microsoft menyoroti CVE-2022-22047 yang baru-baru ini ditambal, yang membantu penyerang meningkatkan hak istimewa, keluar dari kotak pasir, dan mendapatkan eksekusi kode tingkat sistem.

Tahun lalu, Knotweed juga menggunakan rantai eksploitasi yang terbuat dari dua eksploitasi eskalasi hak istimewa Windows (CVE-2021-31199 dan CVE-2021-31201) bersama dengan eksploitasi Adobe Reader (CVE-2021-28550), semuanya ditambal pada bulan Juni 2021.

Pada tahun 2021, kelompok cybermercenary juga dikaitkan dengan eksploitasi zero-day keempat, cacat eskalasi hak istimewa Windows di Layanan Medis Pembaruan Windows (CVE-2021-36948) yang digunakan untuk memaksa layanan memuat DLL yang ditandatangani secara sewenang-wenang.

Untuk mempertahankan diri dari serangan tersebut, Microsoft menyarankan pelanggan untuk:

  • Prioritaskan patching CVE-2022-22047.
  • Konfirmasikan bahwa Microsoft Defender Antivirus diperbarui ke pembaruan intelijen keamanan 1.371.503.0 atau lebih baru untuk mendeteksi indikator terkait.
  • Gunakan indikator kompromi yang disertakan untuk menyelidiki apakah mereka ada di lingkungan Anda dan menilai potensi gangguan.
  • Ubah pengaturan keamanan makro Excel untuk mengontrol makro mana yang dijalankan dan dalam situasi apa saat Anda membuka buku kerja. Pelanggan juga dapat menghentikan makro XLM atau VBA berbahaya dengan memastikan pemindaian makro runtime oleh Antimalware Scan Interface (AMSI) aktif.
  • Aktifkan autentikasi multifaktor (MFA) untuk mengurangi kredensial yang berpotensi disusupi dan memastikan bahwa MFA diterapkan untuk semua konektivitas jarak jauh.
  • Tinjau semua aktivitas otentikasi untuk infrastruktur akses jarak jauh, dengan fokus pada akun yang dikonfigurasi dengan otentikasi satu faktor, untuk mengonfirmasi keaslian dan menyelidiki aktivitas abnormal apa pun.

Selengkapnya : Bleeping Computer

Aplikasi malware Android baru dipasang 10 juta kali dari Google Play

by

Kumpulan baru aplikasi Android berbahaya yang diisi dengan adware dan malware ditemukan di Google Play Store yang telah diinstal hampir 10 juta kali di perangkat seluler.

Aplikasi ini berfungsi sebagai alat pengeditan gambar, keyboard virtual, pengoptimal sistem, pengubah wallpaper, dan banyak lagi. Namun, fungsi dasarnya adalah untuk mendorong iklan yang mengganggu, membuat pengguna berlangganan layanan premium, dan mencuri akun media sosial korban.

Google telah menghapus sebagian besar aplikasi yang disajikan, tetapi pada saat penulisan ini, tiga aplikasi tetap tersedia untuk diunduh dan dipasang melalui Play Store.

Selain itu, jika Anda menginstal salah satu aplikasi ini sebelum dihapus dari Play Store, Anda masih perlu mencopot pemasangannya dari perangkat Anda secara manual dan menjalankan pemindaian AV untuk membersihkan sisa-sisanya.

Aplikasi adware yang ditemukan oleh Dr. Web adalah modifikasi dari keluarga yang ada yang pertama kali muncul di Google Play Store pada Mei 2022.

Setelah penginstalan, aplikasi meminta izin untuk melapisi jendela di atas aplikasi apa pun dan dapat menambahkan dirinya sendiri ke daftar pengecualian penghemat baterai sehingga mereka dapat terus berjalan di latar belakang saat korban menutup aplikasi.

Aplikasi berbahaya yang meminta pengecualian dari penghemat baterai (Dr. Web)

Selain itu, mereka menyembunyikan ikon mereka dari laci aplikasi atau menggantinya dengan sesuatu yang menyerupai komponen sistem inti, seperti “SIM Toolkit”.

Mencoba menipu pengguna dengan penggantian ikon (Dr. Web)

Daftar lengkap aplikasi adware dapat ditemukan di bagian bawah artikel, tetapi satu contoh penting yang masih ada di Play Store adalah ‘Keyboard Tema Neon,’ yang memiliki lebih dari satu juta unduhan meskipun skor bintang 1,8 dan banyak ulasan negatif.

Salah satu aplikasi penyembunyi adware

Kategori kedua dari aplikasi berbahaya yang ditemukan di Play Store adalah aplikasi Joker, yang dikenal karena menimbulkan biaya penipuan pada nomor ponsel korban dengan berlangganan layanan premium.

Dua dari aplikasi yang terdaftar, ‘Water Reminder’ dan ‘Yoga – For Beginner to Advanced,’ masih ada di Play Store, masing-masing memiliki 100.000 dan 50.000 unduhan.

Dua dari aplikasi trojan masih ada di Play Store

Keduanya menyediakan fungsionalitas yang dijanjikan, tetapi mereka juga melakukan tindakan jahat di latar belakang, berinteraksi dengan elemen tak terlihat atau di luar fokus yang dimuat melalui WebView dan membebani pengguna dengan biaya.

Terakhir, Dr. Web menyoroti dua pencuri akun Facebook yang didistribusikan dalam alat pengeditan gambar yang menerapkan filter kartun di atas gambar biasa.

Aplikasi ini adalah ‘YouToon – AI Cartoon Effect’ dan ‘Pista – Cartoon Photo Effect,’ yang telah diunduh secara kolektif lebih dari 1,5 juta kali melalui Play Store.

Editor gambar yang sangat populer yang sebenarnya adalah pencuri Facebook (Dr. Web)

Malware Android akan selalu menemukan cara untuk menyusup ke Google Play Store, dan terkadang aplikasi dapat bertahan di sana selama beberapa bulan, jadi Anda tidak boleh begitu saja memercayai aplikasi apa pun yang dapat secara membabi buta mempercayai tidak ada aplikasi.

Karena itu, sangat penting untuk memeriksa ulasan dan peringkat pengguna, mengunjungi situs web pengembang, membaca kebijakan privasi, dan memperhatikan izin yang diminta selama instalasi.

Terakhir, pastikan Play Protect aktif di perangkat Anda dan pantau data internet dan konsumsi baterai Anda secara teratur untuk mengidentifikasi proses mencurigakan yang berjalan di latar belakang.

Seperti yang dinyatakan sebelumnya, pengguna juga harus memeriksa untuk melihat apakah mereka memiliki salah satu dari aplikasi adware Android berikut yang diinstal pada perangkat mereka, dan jika ditemukan, hapus secara manual dan pindai virus.

Daftar aplikasi malware lainnya

Selengkapnya : Bleeping Computer

Malware Amadey didorong melalui celah perangkat lunak dalam kampanye SmokeLoader

by

Versi baru malware Amadey Bot didistribusikan melalui malware SmokeLoader, menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Amadey Bot adalah jenis malware yang ditemukan empat tahun lalu, mampu melakukan pengintaian sistem, mencuri informasi, dan memuat muatan tambahan.

Sementara distribusinya telah memudar setelah tahun 2020, peneliti Korea di AhnLab melaporkan bahwa versi baru telah memasuki sirkulasi dan didukung oleh malware SmokeLoader yang sama tua tetapi masih sangat aktif.

Ini adalah penyimpangan dari ketergantungan Amadey pada Fallout, dan kit exploit Rig, yang umumnya tidak populer karena menargetkan kerentanan yang sudah ketinggalan zaman.

SmokeLoader diunduh dan dieksekusi secara sukarela oleh para korban, menyamar sebagai crack perangkat lunak atau keygen. Karena crack dan key generator biasanya memicu peringatan antivirus, biasanya pengguna menonaktifkan program antivirus sebelum menjalankan program, menjadikannya metode yang ideal untuk mendistribusikan malware.

Setelah dieksekusi, ia menyuntikkan “Bot Utama” ke dalam proses (explorer.exe) yang sedang berjalan, sehingga OS mempercayainya dan mengunduh Amadey di sistem.

Setelah Amadey diambil dan dieksekusi, ia menyalin dirinya sendiri ke folder TEMP dengan nama ‘bguuwe.exe’ dan membuat tugas terjadwal untuk mempertahankan kegigihan menggunakan perintah cmd.exe.

Detail instalasi Amadey (ASEC)

Selanjutnya, Amadey membuat komunikasi C2 dan mengirimkan profil sistem ke server pelaku ancaman, termasuk versi OS, tipe arsitektur, daftar alat antivirus yang diinstal, dll.

Dalam versi terbarunya, nomor 3.21, Amadey dapat menemukan 14 produk antivirus dan, mungkin berdasarkan hasil, mengambil muatan yang dapat menghindari yang sedang digunakan.

Server merespons dengan instruksi untuk mengunduh plugin tambahan dalam bentuk DLL, serta salinan pencuri info tambahan, terutama RedLine (‘yuri.exe’).

Payload diambil dan diinstal dengan melewati UAC dan eskalasi hak istimewa. Amadey menggunakan program bernama ‘FXSUNATD.exe’ untuk tujuan ini dan melakukan elevasi ke admin melalui pembajakan DLL.

Selain itu, pengecualian yang sesuai pada Windows Defender ditambahkan menggunakan PowerShell sebelum mengunduh muatan.

Pengecualian PowerShell dan auto-elevate (ASEC)

Selain itu, Amadey menangkap tangkapan layar secara berkala dan menyimpannya di jalur TEMP untuk dikirim ke C2 dengan permintaan POST berikutnya.

POST permintaan tangkapan layar eksfiltrasi (ASEC)

Salah satu plugin DLL yang diunduh, ‘cred.dll,’ yang dijalankan melalui ‘rundll32.exe,’ mencoba mencuri informasi dari perangkat lunak berikut:

Program Manajemen Router Mikrotik Winbox
Pandangan
FileZilla
Pijin
Total Commander FTP Client
RealVNC, TightVNC, TigerVNC
WinSCP

Tentu saja, jika RedLine dimuat ke host, cakupan penargetan diperluas secara dramatis, dan korban berisiko kehilangan kredensial akun, komunikasi, file, dan aset cryptocurrency.

Untuk menghindari bahaya Amadey Bot dan RedLine, hindari mengunduh file yang retak, aktivator produk perangkat lunak, atau pembuat kunci tidak sah yang menjanjikan akses gratis ke produk premium.

Sumber: Bleeping Computer

Malware yang hampir tidak terdeteksi terkait dengan Cozy Bear Rusia

by

Tim intelijen ancaman Unit 42 Palo Alto Networks mengklaim bahwa sepotong malware yang tidak dapat dideteksi oleh 56 produk antivirus adalah bukti bahwa penyerang yang didukung negara telah menemukan cara baru untuk menjalankan bisnis jahat.

Analis Unit 42 menegaskan bahwa malware itu terlihat pada Mei 2022 dan berisi muatan berbahaya yang menunjukkan bahwa itu dibuat menggunakan alat yang disebut Brute Rate (BRC4).

Di situs webnya, BRC4 digambarkan sebagai “Pusat Komando dan Kontrol Khusus untuk Tim Merah dan Simulasi Musuh”. Pembuat alat ini bahkan mengklaim bahwa mereka merekayasa balik perangkat lunak antivirus untuk membuat BRC4 lebih sulit dideteksi.

Malware Unit 42 yang diamati mulai hidup sebagai file yang berpura-pura menjadi curriculum vitae seorang pria bernama Roshan Bandara. Luar biasa, CV Bandara ditawarkan sebagai file ISO format file gambar disk. Jika pengguna mengklik ISO, itu dipasang sebagai drive Windows dan menampilkan jendela File Manager dengan satu-satunya file: “Roshan-Bandara_CV_Dialog”.

File tersebut terlihat seperti file Microsoft Word tetapi yang mengejutkan sebenarnya bukan CV. Ketika diklik dua kali, CMD.EXE akan terbuka dan menjalankan OneDrive Updater, yang mengambil dan menginstal BRC4.

Setelah malware berjalan, banyak hal buruk dapat terjadi pada mesin yang terinfeksi.

Tapi Unit 42 tidak peduli dengan hal-hal buruk itu. Teknik yang digunakan untuk menjalankan BRC4 inilah yang menarik perhatian tim, karena sangat licik sehingga menunjukkan bahwa aktor negara-bangsa berada di balik pengembangannya.

Bahkan mungkin APT29 geng yang terkait dengan Moskow juga dikenal sebagai Cozy Bear dan diduga terlibat dalam serangan terhadap Solar Winds dan banyak serangan lainnya. APT29 telah menggunakan ISO beracun di masa lalu.

Unit 42 juga mencatat bahwa ISO yang digunakan dalam serangan ini dibuat pada hari yang sama saat versi baru BRC4 muncul, menunjukkan bahwa aktor yang didukung negara dapat mengawasi dunia yang suram dari malware komersial dan dengan cepat menjalankannya sementara dunia mencoba untuk mengejar.

Sumber: The Register

Berbagai macam router sedang diserang oleh malware baru yang luar biasa canggih

by

Sebuah kelompok peretas yang luar biasa canggih telah menghabiskan hampir dua tahun menginfeksi berbagai router di Amerika Utara dan Eropa dengan malware yang mengambil kendali penuh dari perangkat terhubung yang menjalankan Windows, macOS, dan Linux, para peneliti melaporkan pada hari Selasa.

Peneliti dari Black Lotus Labs Lumen Technologies mengatakan mereka telah mengidentifikasi setidaknya 80 target yang terinfeksi oleh malware tersembunyi, menginfeksi router yang dibuat oleh Cisco, Netgear, Asus, dan DrayTek. Dijuluki ZuoRAT, Trojan akses jarak jauh adalah bagian dari kampanye peretasan yang lebih luas yang telah ada setidaknya sejak kuartal keempat tahun 2020 dan terus beroperasi.

Penemuan malware yang dibuat khusus yang ditulis untuk arsitektur MIPS dan dikompilasi untuk router kantor kecil dan kantor rumahan adalah signifikan, terutama mengingat jangkauan kemampuannya.

Kemampuannya untuk menghitung semua perangkat yang terhubung ke router yang terinfeksi dan mengumpulkan pencarian DNS dan lalu lintas jaringan yang mereka kirim dan terima dan tetap tidak terdeteksi adalah ciri dari aktor ancaman yang sangat canggih.

Kampanye ini terdiri dari setidaknya empat bagian malware, tiga di antaranya ditulis dari awal oleh aktor ancaman. Bagian pertama adalah ZuoRAT berbasis MIPS, yang sangat mirip dengan malware Mirai Internet of Things yang mencapai serangan penolakan layanan terdistribusi yang memecahkan rekor yang melumpuhkan beberapa layanan Internet selama berhari-hari. ZuoRAT sering terinstal dengan mengeksploitasi kerentanan yang belum ditambal di perangkat SOHO.

Setelah diinstal, ZuoRAT menghitung perangkat yang terhubung ke router yang terinfeksi. Pelaku ancaman kemudian dapat menggunakan pembajakan DNS dan pembajakan HTTP untuk menyebabkan perangkat yang terhubung menginstal malware lain.

Dua dari malware tersebut—dijuluki CBeacon dan GoBeacon—dibuat khusus, dengan yang pertama ditulis untuk Windows dalam C++ dan yang terakhir ditulis dalam Go untuk kompilasi silang di perangkat Linux dan macOS. Untuk fleksibilitas, ZuoRAT juga dapat menginfeksi perangkat yang terhubung dengan alat peretas Cobalt Strike yang banyak digunakan.

ZuoRAT dapat memutar infeksi ke perangkat yang terhubung menggunakan salah satu dari dua metode:

  • Pembajakan DNS, yang menggantikan alamat IP yang valid terkait dengan domain seperti Google atau Facebook dengan yang berbahaya yang dioperasikan oleh penyerang.
  • Pembajakan HTTP, di mana malware memasukkan dirinya ke dalam koneksi untuk menghasilkan kesalahan 302 yang mengarahkan pengguna ke alamat IP yang berbeda.

Black Lotus Labs mengatakan infrastruktur komando dan kontrol yang digunakan dalam kampanye sengaja dibuat rumit dalam upaya untuk menyembunyikan apa yang terjadi. Satu set infrastruktur digunakan untuk mengontrol router yang terinfeksi, dan infrastruktur lainnya dicadangkan untuk perangkat yang terhubung jika kemudian terinfeksi.

Para peneliti mengamati router dari 23 alamat IP dengan koneksi terus-menerus ke server kontrol yang mereka yakini sedang melakukan survei awal untuk menentukan apakah target menarik.

Penemuan kampanye yang sedang berlangsung ini adalah yang paling penting yang mempengaruhi router SOHO sejak VPNFilter, malware router yang dibuat dan disebarkan oleh pemerintah Rusia yang ditemukan pada tahun 2018. Router sering diabaikan, terutama di era bekerja dari rumah. Sementara organisasi sering memiliki persyaratan ketat untuk perangkat apa yang diizinkan untuk terhubung, hanya sedikit patch mandat atau perlindungan lain untuk router perangkat.

Seperti kebanyakan malware router, ZuoRAT tidak dapat bertahan dari reboot. Cukup restart perangkat yang terinfeksi akan menghapus eksploitasi ZuoRAT awal, yang terdiri dari file yang disimpan dalam direktori sementara. Namun, untuk pulih sepenuhnya, perangkat yang terinfeksi harus direset ke setelan pabrik.

Selengkapnya: Arstechnica

Peringatan Microsoft: Malware yang menargetkan Linux ini baru saja mendapat pembaruan besar

by

Microsoft mengatakan telah melihat “pembaruan penting” untuk malware yang menargetkan server Linux untuk menginstal malware cryptominer.

Microsoft telah memanggil pekerjaan baru-baru ini dari apa yang disebut kelompok “8220 gang”, yang baru-baru ini terlihat mengeksploitasi bug kritis yang memengaruhi Server dan Pusat Data Atlassian Confluence, yang dilacak sebagai CVE-2022-26134.

Atlassian mengungkapkan bug pada 2 Juni dan dalam seminggu, perusahaan keamanan Check Point menemukan bahwa 8220 geng menggunakan kelemahan Atlassian untuk menginstal malware pada sistem Linux. Kelompok ini juga menargetkan sistem Windows menggunakan cacat Atlassian untuk menyuntikkan skrip ke dalam proses memori PowerShell.

CISA telah memperingatkan agen federal untuk menambalnya pada 6 Juni dan sampai saat itu memblokir semua akses internet ke produk tersebut.

Geng 8220 telah aktif sejak 2017, menurut kelompok Intelijen Talos Cisco, yang menggambarkannya sebagai aktor ancaman penambangan Monero berbahasa Cina yang C2-nya sering berkomunikasi melalui port 8220, sehingga mendapatkan namanya. Pada tahap itu mereka menargetkan kerentanan gambar Apache Struts2 dan Docker untuk menyusup ke server perusahaan.

Menurut Microsoft, setelah geng 8220 memperoleh akses awal melalui CVE-2022-26134, ia mengunduh loader ke sistem yang mengubah konfigurasinya untuk menonaktifkan layanan keamanan, mengunduh cryptominer, menetapkan kegigihan pada jaringan, dan kemudian memindai port pada jaringan untuk menemukan server lain.

Microsoft memperingatkan admin untuk mengaktifkan pengaturan perlindungan tamper Defender for Endpoint karena loader menghapus file log dan menonaktifkan pemantauan cloud dan alat keamanan.

Loader mengunduh pwnRig cryptominer (v1.41.9) dan bot IRC menjalankan perintah dari server C2. Itu bertahan dari reboot dengan membuat tugas penjadwalan melalui cronjob atau skrip yang berjalan setiap 60 detik sebagai perintah nohup atau “no hangup”.

Loader menggunakan alat pemindai port IP “masscan” untuk menemukan server SSH lain di jaringan, dan kemudian menggunakan alat brute force SSH berbasis GoLang “spirit” untuk menyebar. Ini juga memindai disk lokal untuk mencari kunci SSH untuk bergerak secara lateral dengan menghubungkan ke host yang dikenal,” Microsoft menjelaskan.

Sumber: ZDnet

Situs Web Hosting Perangkat Lunak Palsu Menyebarkan Malware CopperStealer yang Diperbarui

by

Baru-baru ini, peniliti dari Trend Micro menemukan sampel terbaru dari malware CopperStealer yang menginfeksi sistem melalui situs web yang menghosting perangkat lunak palsu.

Komunikasi CopperStealer sebelumnya memanfaatkan Domain Generation Algorithms (DGA) untuk mengacak domain C&C dan menyalahgunakan proxy jaringan pengiriman konten (CDN) untuk menyembunyikan alamat IP asli dari server C&C.

Proxy DGA dan CDN membantu pencuri meningkatkan stabilitas komunikasi jaringannya dan membantu menghindari deteksi dari solusi perlindungan jaringan domain C&C dan alamat IP-nya. Namun, operasi lubang pembuangan kolaboratif dari peneliti ancaman dan penyedia layanan mengganggu infrastruktur CopperStealer sebelumnya.

Kemungkinan karena gangguan tersebut, infrastruktur CopperStealer sekarang dibangun secara berbeda. C&C tidak lagi dibuat dengan DGA; alih-alih, ini ditentukan dengan konfigurasi terenkripsi yang dihosting di halaman web pihak ketiga (dalam contoh ini, Pastebin disalahgunakan). Alih-alih menggunakan proksi CDN, kami menemukan bahwa domain C&C-nya mengadopsi layanan DNS fluks cepat yang disediakan di forum bawah tanah.

Layanan DNS fluks cepat dapat mengalihkan domain C&C CopperStealer antara alamat IP yang berbeda setiap beberapa jam dan menambahkan lapisan proxy untuk melindungi server C&C-nya. Meskipun teknik ini bukan hal baru, kami mengamati pergantian terjadi hingga dua kali sehari setiap hari.

Organisasi dan pengguna sangat tidak disarankan untuk mengunduh crack dari situs web pihak ketiga. Beberapa situs tidak resmi menghosting perangkat lunak yang berfungsi tetapi dapat dilampirkan dengan komponen terlarang yang tersembunyi dan tambahan yang tidak terkait dengan fungsi yang diiklankan.

Selain itu, perangkat lunak palsu berpotensi dapat disalahgunakan untuk berbagai serangan dan infeksi, dan pencuri data seperti CopperStealer dapat digunakan oleh penyerang untuk mengambil informasi sensitif untuk kegiatan yang lebih terlarang.

Selengkapnya: Trend Micro

Malware perbankan Android MaliBot baru menyebar sebagai penambang kripto

by

Peneliti keamanan siber telah menemukan malware perbankan Android baru bernama MaliBot, yang menyamar sebagai aplikasi penambangan cryptocurrency atau browser web Chrome untuk menargetkan pengguna di Italia dan Spanyol.

MaliBot berfokus pada mencuri informasi keuangan seperti kredensial layanan e-banking, kata sandi dompet kripto, dan detail pribadi, sementara itu juga mampu mengambil kode otentikasi dua faktor dari notifikasi.

Menurut sebuah laporan oleh F5 Labs, yang analisnya menemukan malware baru, saat ini menggunakan beberapa saluran distribusi, kemungkinan bertujuan untuk menutupi celah pasar yang diciptakan oleh penghentian tiba-tiba operasi FluBot.

Server komando dan kontrol Malibot berbasis di Rusia, dan IP-nya telah dikaitkan dengan beberapa kampanye distribusi malware sejak Juni 2020.

Distribusi MaliBot terjadi melalui situs web yang mempromosikan aplikasi cryptocurrency dalam bentuk APK yang diunduh dan diinstal secara manual oleh korban.

Dalam kampanye lain, malware didorong sebagai aplikasi bernama Mining X, dan para korban ditipu untuk memindai kode QR untuk mengunduh file APK berbahaya.

Situs web Mining X yang mendorong MaliBot

Operator MaliBot juga menggunakan pesan smishing (SMS phishing) untuk mendistribusikan muatan mereka ke daftar nomor telepon yang ditentukan oleh C2. Pesan-pesan ini dikirim dari perangkat yang disusupi yang menyalahgunakan izin “kirim SMS”.

MaliBot adalah trojan Android kuat yang mengamankan aksesibilitas dan izin peluncur saat penginstalan dan kemudian memberikan dirinya sendiri hak tambahan pada perangkat.

Itu dapat mencegat pemberitahuan, SMS, dan panggilan, menangkap tangkapan layar, mendaftarkan aktivitas boot, dan memberikan kemampuan kendali jarak jauh kepada operatornya melalui sistem VNC.

VNC memungkinkan operator untuk menavigasi antar layar, menggulir, mengambil tangkapan layar, menyalin dan menempelkan konten, menggesek, melakukan penekanan lama, dan banyak lagi.

Untuk melewati perlindungan MFA, ia menyalahgunakan API Aksesibilitas untuk mengklik konfirmasi konfirmasi pada peringatan masuk tentang upaya login yang mencurigakan, mengirimkan OTP ke C2, dan mengisinya secara otomatis.

Kode untuk mengambil kode MFA (F5 Labs)

Selain itu, malware dapat mencuri kode MFA dari Google Authenticator dan melakukan tindakan ini sesuai permintaan, membuka aplikasi autentikasi secara independen dari pengguna.

Seperti kebanyakan trojan perbankan, MaliBot mengambil daftar aplikasi yang diinstal untuk menentukan aplikasi bank mana yang digunakan oleh korban untuk mengambil overlay/injeksi yang cocok dari C2. Ketika korban membuka aplikasi yang sah, layar login palsu dihamparkan di atas UI.

Mengirim daftar overlay ke C2 dan menerima injeksi kembali (F5 Labs)

Analis F5 Labs telah melihat fitur yang tidak diterapkan dalam kode MaliBot, seperti deteksi lingkungan yang ditiru yang dapat digunakan untuk menghindari analisis.

Ini adalah tanda bahwa pengembangannya sangat aktif, dan versi baru MaliBot diharapkan segera beredar, mungkin meningkatkan potensi malware baru.

Untuk saat ini, MaliBot memuat overlay yang menargetkan bank Italia dan Spanyol, tetapi dapat segera memperluas cakupannya dengan menambahkan lebih banyak suntikan, seperti yang dilakukan FluBot secara bertahap.

Hamparan bank Spanyol digunakan oleh MaliBot (F5 Labs)

Pada saat penulisan ini, situs web yang mendistribusikan MaliBot tetap online, sehingga operasi distribusi malware masih cukup aktif.