Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for ZLoader

ZLoader

Microsoft mengganggu malware Zloader dalam operasi global

by

Operasi global selama berbulan-bulan yang dipimpin oleh Unit Kejahatan Digital (DCU) Microsoft telah menghapus lusinan domain yang digunakan sebagai server perintah-dan-kontrol (C2) oleh botnet ZLoader yang terkenal kejam.

Perintah pengadilan yang diperoleh Microsoft mengizinkannya untuk menenggelamkan 65 domain hardcode yang digunakan oleh geng kejahatan dunia maya ZLoader untuk mengontrol botnet dan 319 domain lainnya yang terdaftar menggunakan algoritme pembuatan domain yang digunakan untuk membuat saluran komunikasi cadangan dan cadangan.

“Selama penyelidikan kami, kami mengidentifikasi salah satu pelaku di balik pembuatan komponen yang digunakan dalam botnet ZLoader untuk mendistribusikan ransomware sebagai Denis Malikov, yang tinggal di kota Simferopol di Semenanjung Krimea,” jelas Amy Hogan-Burney, DCU Manajer umum.

Beberapa penyedia telekomunikasi dan perusahaan keamanan siber di seluruh dunia bermitra dengan intel ancaman dan peneliti keamanan Microsoft selama upaya investigasi, termasuk ESET, Black Lotus Labs (lengan intelijen ancaman Lumen), Unit 42 Jaringan Palo Alto, dan Avast.

Pusat Berbagi dan Analisis Informasi Layanan Keuangan (FS-ISAC) dan Pusat Berbagi dan Analisis Informasi Kesehatan (H-ISAC) juga menyumbangkan data dan wawasan untuk membantu memperkuat kasus hukum.

ZLoader menyerang peta panas (Microsoft)

Zloader (alias Terdot dan DELoader) adalah trojan perbankan terkenal yang pertama kali terlihat pada Agustus 2015 ketika digunakan dalam serangan terhadap beberapa pelanggan perusahaan keuangan Inggris.

“Kemampuannya termasuk menangkap tangkapan layar, mengumpulkan cookie, mencuri kredensial dan data perbankan, melakukan pengintaian, meluncurkan mekanisme persistensi, menyalahgunakan alat keamanan yang sah, dan menyediakan akses jarak jauh ke penyerang,” kata Tim Intelijen Ancaman Pembela Microsoft 365 hari ini.

Seperti Zeus Panda dan Floki Bot, malware ini hampir seluruhnya didasarkan pada kode sumber trojan Zeus v2 yang bocor secara online lebih dari satu dekade lalu.

Malware telah digunakan untuk menargetkan bank di seluruh dunia, dari Australia dan Brasil hingga Amerika Utara, dengan tujuan akhir mengumpulkan data keuangan melalui injeksi web yang menggunakan rekayasa sosial untuk mengelabui pelanggan bank yang terinfeksi agar membagikan kode otentikasi dan kredensial.

Zloader juga memiliki fitur pintu belakang dan kemampuan akses jarak jauh, dan dapat digunakan sebagai pemuat malware untuk menjatuhkan muatan tambahan pada perangkat yang terinfeksi.

Baru-baru ini, operator dari beberapa geng ransomware juga telah menggunakannya untuk menyebarkan muatan berbahaya seperti Ryuk dan Egregor, serta DarkSide dan BlackMatter per Microsoft.

Sumber : Bleeping Computer

Pemeriksaan tanda kode Microsoft dilewati untuk menghapus malware Zloader

by

Kampanye Zloader baru memanfaatkan verifikasi tanda tangan digital Microsoft untuk menyebarkan muatan malware dan mencuri kredensial pengguna dari ribuan korban dari 111 negara.

Zloader (alias Terdot dan DELoader) adalah malware perbankan yang pertama kali ditemukan pada tahun 2015 yang dapat mencuri kredensial akun dan berbagai jenis informasi pribadi sensitif dari sistem yang disusupi.

Baru-baru ini, Zloader telah digunakan untuk menjatuhkan muatan lebih lanjut pada perangkat yang terinfeksi, termasuk muatan ransomware seperti Ryuk dan Egregor,

MalSmoke telah mengeksplorasi berbagai cara untuk mendistribusikan malware pencuri informasi, mulai dari spam mail dan malvertising hingga menggunakan umpan konten dewasa.

Dalam kampanye terbaru, dilacak dan dianalisis oleh para peneliti di Check Point, infeksi dimulai dengan mengirimkan file “Java.msi” yang merupakan penginstal Atera yang dimodifikasi.

Zloader kemudian mengkampanyekan rantai infeksi
Sumber: Titik Periksa

Setelah dieksekusi, Atera membuat agen dan menetapkan titik akhir ke alamat email di bawah kendali aktor ancaman.

Penyerang kemudian mendapatkan akses jarak jauh penuh ke sistem, yang memungkinkan mereka untuk mengeksekusi skrip dan mengunggah atau mengunduh file, terutama muatan malware Zloader.

Menjatuhkan Zloader
Skrip batch yang disertakan dalam penginstal berbahaya melakukan beberapa pemeriksaan tingkat pengguna untuk memastikan mereka memiliki hak admin, menambahkan pengecualian folder ke Windows Defender, dan menonaktifkan alat seperti “cmd.exe” dan pengelola tugas.

Selengkapnya : Bleeping Computer

Pemeriksaan penandatanganan kode Microsoft dilewati
Analis Check Point telah mengkonfirmasi bahwa appContast.dll, yang mengeksekusi muatan Zloader dan skrip pengeditan registri membawa tanda tangan kode yang valid, sehingga OS pada dasarnya mempercayainya.

DLL berbahaya yang membawa tanda tangan kode yang valid
Sumber: Titik Periksa

Perubahan halus ini tidak cukup untuk mencabut validitas tanda tangan elektronik, tetapi pada saat yang sama, memungkinkan seseorang untuk menambahkan data ke bagian tanda tangan dari sebuah file.

Perubahan bagian tanda tangan di DLL
Sumber: Titik Periksa

Microsoft telah mengetahui tentang celah keamanan ini sejak 2012 (CVE-2020-1599, CVE-2013-3900, dan CVE-2012-0151) dan telah berusaha memperbaikinya dengan merilis kebijakan verifikasi file yang semakin ketat. Namun, untuk beberapa alasan, ini tetap dinonaktifkan secara default.

Anda dapat menemukan petunjuk untuk memperbaiki masalah ini sendiri dengan mengaktifkan kebijakan yang lebih ketat seperti yang dirinci dalam penasihat lama ini.

Atau, Anda dapat menempelkan baris di bawah ini ke Notepad, simpan file dengan ekstensi .reg dan jalankan.

Windows Registry Editor Versi 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“AktifkanCertPaddingCheck”=”1”

Korban dari Amerika Utara
Pada 2 Januari 2021, kampanye Zloader terbaru telah menginfeksi 2.170 sistem unik, dengan 864 memiliki alamat IP berbasis di AS dan 305 lainnya dari Kanada.

Meskipun jumlah korbannya tidak terlalu besar, serangan ini sangat bertarget dan dapat menyebabkan kerusakan yang signifikan pada setiap korban.

Karena vektor infeksi tidak diketahui, cara terbaik untuk melindungi dari ancaman ini adalah dengan mengikuti rekomendasi pengetatan kebijakan dan menggunakan IoC (indikator kompromi) yang disediakan oleh peneliti Check Point untuk deteksi ancaman proaktif.

Selengkapnya : Bleeping Computer

Peretas Menggunakan Trik Baru untuk Menonaktifkan Peringatan Keamanan Makro di File Office Berbahaya

by

Sementara itu adalah norma untuk kampanye phishing yang mendistribusikan dokumen Microsoft Office yang dipersenjatai untuk meminta korban mengaktifkan makro untuk memicu rantai infeksi secara langsung, temuan baru menunjukkan penyerang menggunakan dokumen yang tidak berbahaya untuk menonaktifkan peringatan keamanan sebelum mengeksekusi kode makro untuk menginfeksi komputer korban.

Dalam contoh lain pembuat malware terus mengembangkan teknik mereka untuk menghindari deteksi, peneliti dari McAfee Labs menemukan taktik baru yang “mengunduh dan mengeksekusi DLL berbahaya (ZLoader) tanpa ada kode berbahaya di makro lampiran spam awal.”

Infeksi ZLoader yang disebarkan menggunakan mekanisme ini terutama dilaporkan di AS, Kanada, Spanyol, Jepang, dan Malaysia, perusahaan keamanan siber mencatat. Malware — turunan dari trojan perbankan ZeuS yang terkenal — terkenal secara agresif menggunakan dokumen Office berkemampuan makro sebagai vektor serangan awal untuk mencuri kredensial dan informasi pengenal pribadi dari pengguna lembaga keuangan yang ditargetkan.

Dalam menyelidiki intrusi, para peneliti menemukan bahwa rantai infeksi dimulai dengan email phishing yang berisi lampiran dokumen Microsoft Word yang, ketika dibuka, mengunduh file Microsoft Excel yang dilindungi kata sandi dari server jauh. Namun, perlu dicatat bahwa makro harus diaktifkan di dokumen Word untuk memicu unduhan itu sendiri.

selengkapnya : thehackernews.com