Bazar Backdoor dikaitkan dengan Trojan Perbankan Trickbot - STUCKCODE
Skip to content Skip to sidebar Skip to footer

Bazar Backdoor dikaitkan dengan Trojan Perbankan Trickbot

Bazar Backdoor dikaitkan dengan Trojan Perbankan Trickbot

Sebuah malware baru telah dikaitkan dengan pelaku-pelaku ancaman di belakang Trickbot, sebuah Trojan yang mencuri informasi. 

Pada hari Kamis, tim peneliti Cybereason Nocturnus mengatakan bahwa sejak April tahun ini, backdoor telah digunakan dalam serangan terhadap target di seluruh AS dan Eropa. Secara khusus, organisasi dalam industri profesional, kesehatan, IT, manufaktur, logistik, dan perjalanan menjadi sorotan. 

Dalam sebuah postingan blog , para peneliti cybersecurity mendokumentasikan bagaimana varian pertama malware muncul selama bulan April, tetapi kemudian ada hiatus hampir dua bulan dengan sampel baru yang muncul selama Juni - bersama dengan perbaikan kode.

Trickbot adalah Trojan pencuri informasi dan perbankan yang digunakan untuk melawan layanan keuangan. Malware telah berevolusi selama bertahun-tahun untuk menjadi pencuri data dan fasilitator botnet dengan infrastruktur modular yang membuatnya lebih mudah bagi operator untuk mengubah kode dan meningkatkan kemampuan ofensifnya dari waktu ke waktu. 

Pada bulan Januari, operator Trickbot memulai debutnya PowerTrick , sebuah backdoor yang disediakan untuk target bernilai tinggi. Sekarang, pengenalan malware Bazar - menggabungkan loader dan backdoor - adalah alat lain yang dipersenjatai dalam kampanye Trickbot. 

Kampanye phishing terkait pandemi COVID-19, keluhan pelanggan, dan penggajian karyawan digunakan untuk menyebarkan malware. Sementara sebagian besar kampanye Trickbot menggunakan lampiran berbahaya, Bazar menyebar melalui email phishing yang dikirim melalui platform pemasaran email Sendgrid yang menautkan ke halaman arahan umpan untuk pratinjau dokumen yang diselenggarakan di Google Documents.

Untuk memikat korban agar mengunduh dokumen berbahaya, laman tersebut mengklaim bahwa pratinjau tidak tersedia. 

Setelah dokumen telah diunduh dan dieksekusi, elemen loader mengukir pijakan ke sistem yang terinfeksi. Kode serupa sedang dimainkan antara Bazar dan loader Trickbot standar, termasuk WinAPI yang sama, implementasi RC4 khusus. Loader akan mencoba menyuntikkan dirinya ke svchost, explorer, atau cmd untuk memastikannya autoruns "dengan biaya berapa pun," menurut Cybereason, dan tugas juga dijadwalkan untuk memuat malware saat startup. 

Backdoor Bazar terenkripsi dimuat langsung ke memori untuk menghindari deteksi. Bazar, yang tiga versi dalam berbagai tahap pengembangan telah terdeteksi, mengumpulkan dan mencuri data sistem, menjalin tautan dengan perintah-dan-kontrol (C2), dan mampu melakukan berbagai fungsi. 

Seperti dicatat oleh para peneliti Fox IT , ini termasuk menghasilkan ID unik untuk setiap mesin yang terinfeksi, mengunduh file dan menggunakan injeksi proses pengosongan atau injeksi proses Doppelgänging, menjalankan DLL, mengakhiri proses, dan penghancuran diri. 

Cybereason mengatakan kombinasi loader dan backdoor dapat digunakan untuk mengunduh dan menyebarkan muatan malware tambahan, seperti ransomware, serta mengekstrak informasi untuk transfer ke C2 penyerang.

Domain yang digunakan untuk memfasilitasi loader Bazar dan backdoor berbasis blockchain, termasuk EmerDNS. Karena domain ini didesentralisasi, mereka mungkin lebih tahan terhadap permintaan penghapusan, sebuah konsep yang dikatakan Cybereason telah membuat domain DNS blockchain “tren terkini” di antara para aktor ancaman. 

Ini adalah taktik yang sama yang digunakan dalam kampanye Trickbot Anchor , seperti yang didokumentasikan pada Desember 2019. Trickbot dan Anchor juga berbagi domain Bazar C2 tingkat atas yang sama. 

Penelitian kami menunjukkan bahwa pelaku mengambil waktu untuk memeriksa ulang dan meningkatkan kode mereka, membuat malware menjadi lebih tersembunyi," kata tim. Meskipun malware ini masih dalam tahap pengembangan, Cybereason memperkirakan bahwa peningkatan dan pelapisan terbaru dapat mengindikasikan munculnya ancaman baru yang tangguh setelah sepenuhnya siap untuk diproduksi.

Naka chan
Naka chan Rak peduli karo omongane wong, seng penting aku terus melangkah

1 comment for "Bazar Backdoor dikaitkan dengan Trojan Perbankan Trickbot"

  1. Wah jadi harus lebih hati2 dengan file yang pratinjau nya tidak tersedia,, jangan sampai jadi korban trojan perbankan

    ReplyDelete