Redline Stealer

Sebanyak tiga kampanye yang berbeda tetapi terkait antara Maret dan Juni 2022 telah ditemukan mengirimkan berbagai malware, termasuk ModernLoader, RedLine Stealer, dan Cryptominers (penambang cryptocurrency) ke sistem yang disusupi.

“Para aktor menggunakan PowerShell, .NET assemblies, dan file HTA dan VBS untuk menyebar ke seluruh jaringan yang ditargetkan, akhirnya menjatuhkan malware lain, seperti trojan SystemBC dan DCRat, untuk mengaktifkan berbagai tahap operasi mereka,”

Implan berbahaya yang dimaksud, ModernLoader, dirancang untuk memberi penyerang kendali jarak jauh atas mesin korban, yang memungkinkan musuh menyebarkan malware tambahan, mencuri informasi sensitif, atau bahkan menjerat komputer dalam botnet.

Cisco Talos mengaitkan infeksi tersebut dengan aktor ancaman yang sebelumnya tidak berdokumen tetapi berbahasa Rusia, mengutip penggunaan alat yang tersedia. Target potensial termasuk pengguna Eropa Timur di Bulgaria, Polandia, Hongaria, dan Rusia.

Rantai infeksi yang ditemukan oleh perusahaan keamanan siber melibatkan upaya untuk mengkompromikan aplikasi web yang rentan seperti WordPress dan CPanel untuk mendistribusikan malware melalui file yang menyamar sebagai kartu hadiah Amazon palsu.

Payload tahap pertama adalah file Aplikasi HTML (HTA) yang menjalankan skrip PowerShell yang dihosting di server command-and-control (C2) untuk memulai penyebaran muatan intertim yang pada akhirnya menyuntikkan malware menggunakan teknik yang disebut proses pengosongan.

Digambarkan sebagai trojan akses jarak jauh .NET sederhana, ModernLoader (alias Avatar bot) dilengkapi dengan fitur untuk mengumpulkan informasi sistem, menjalankan perintah arbitrer, atau mengunduh dan menjalankan file dari server C2, memungkinkan musuh mengubah modul secara real- waktu.

Investigasi Cisco juga menemukan dua kampanye sebelumnya pada Maret 2022 dengan modus operandi serupa yang memanfaatkan ModerLoader sebagai komunikasi malware C2 utama dan menyajikan malware tambahan, termasuk XMRig, RedLine Stealer, SystemBC, DCRat, dan pencuri token Discord.

“Kampanye ini menggambarkan seorang aktor bereksperimen dengan teknologi yang berbeda,” kata Svajcer. “Penggunaan alat yang sudah jadi menunjukkan bahwa aktor memahami TTP yang diperlukan untuk kampanye malware yang sukses tetapi keterampilan teknis mereka tidak cukup berkembang untuk sepenuhnya mengembangkan alat mereka sendiri.”

Sumber: The Hackernews

Banyak pengguna LastPass melaporkan bahwa kata sandi utama mereka telah dikompromikan setelah menerima peringatan email bahwa seseorang mencoba menggunakannya untuk masuk ke akun mereka dari lokasi yang tidak dikenal.

Pemberitahuan email juga menyebutkan bahwa upaya login telah diblokir karena dibuat dari lokasi yang tidak dikenal di seluruh dunia.

“Seseorang baru saja menggunakan kata sandi utama Anda untuk mencoba masuk ke akun Anda dari perangkat atau lokasi yang tidak kami kenali,” peringatan login memperingatkan.

“LastPass memblokir upaya ini, tetapi Anda harus melihat lebih dekat. Apakah ini kamu?”

Laporan kata sandi master LastPass yang dikompromikan mengalir melalui beberapa situs media sosial dan platform online, termasuk Twitter, Reddit, dan Hacker News (laporan asli dari Greg Sadetsky).

Namun, pengguna yang menerima peringatan ini telah menyatakan bahwa kata sandi mereka unik untuk LastPass dan tidak digunakan di tempat lain. BleepingComputer telah bertanya kepada LastPass tentang masalah ini tetapi belum menerima jawaban.

Sementara LastPass tidak berbagi rincian mengenai bagaimana aktor ancaman di balik upaya isian kredensial ini, peneliti keamanan Bob Diachenko mengatakan dia baru-baru ini menemukan ribuan kredensial LastPass saat melalui log malware Redline Stealer.

Pengguna LastPass disarankan untuk mengaktifkan autentikasi multifaktor untuk melindungi akun mereka bahkan jika kata sandi utama mereka dikompromikan.

Dua tahun lalu, pada September 2019, LastPass memperbaiki kerentanan keamanan dalam ekstensi Chrome pengelola kata sandi yang dapat memungkinkan aktor ancaman mencuri kredensial yang terakhir digunakan untuk masuk ke situs.

Selengkapnya: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Peretas Menggunakan ModernLoader untuk Menginfeksi Sistem dengan Stealers dan Cryptominers

Pengguna LastPass Memperingatkan Kata Sandi Utama Mereka Dikompromikan

Redline Stealer

Cookies Settings