Pelaku ancaman di balik pencuri kredensial RedLine dan Vidar telah diamati beralih ke ransomware melalui kampanye phishing yang menyebarkan muatan awal yang ditandatangani dengan sertifikat penandatanganan kode Otentikasi Diperpanjang (EV).
“Hal ini menunjukkan bahwa pelaku ancaman menyederhanakan operasi mereka dengan membuat teknik mereka menjadi lebih fleksibel.” ujar peneliti dari Trend Micro.
Dalam kasus yang diselidiki oleh perusahaan keamanan siber tersebut, seorang korban anonim diduga pertama kali menerima malware pencuri informasi menggunakan sertifikat penandatanganan kode EV, kemudian ransomware menggunakan teknik terdistribusi, dan sejenisnya.
Baca Juga : TikTok Kena Denda Rp5,6 Triliun Akibat Langgar Perlindungan Keamanan Data Anak-Anak Irlandia
Dilansir dari The Hacker News, infeksi QakBot mengeksploitasi templat yang ditandatangani dengan sertifikat penandatanganan kode yang valid untuk melewati perlindungan keamanan. Serangan dimulai dengan email phishing yang menggunakan umpan lama untuk mengelabui korban agar mengeksekusi lampiran berbahaya yang disamarkan sebagai gambar PDF atau JPG, namun sebenarnya merupakan file yang dapat dieksekusi yang menyebabkan pelanggaran saat diunduh. Meskipun kampanye yang menargetkan korban meluncurkan pencurian malware pada bulan Juli, muatan ransomware muncul pada awal Agustus setelah email yang berisi lampiran palsu ke email pengaduan diterima. Keluhan TripAdvisor (“TripAdvisor -Complaint.pdf.htm”), mengarah ke serangkaian langkah-langkah yang mengakibatkan penyebaran ransomware.
“Pada titik ini, perlu dicatat bahwa tidak seperti sampel eksfiltrasi kredensial yang kami selidiki, file yang digunakan untuk menjatuhkan muatan ransomware tidak memiliki sertifikat EV,” kata para peneliti.
“Namun keduanya berasal dari agen ancaman yang sama dan menyebar melalui cara penularan yang sama. Oleh karena itu, kita dapat mengasumsikan adanya pembagian kerja antara pemasok beban dan operator.”
Perkembangan ini terjadi ketika IBM X-Force menemukan kampanye phishing baru yang menyebarkan versi perbaikan dari malware DBatLoader. Fitur-fitur baru dari DBatLoader memfasilitasi bypass, pemeliharaan, dan penyisipan proses UAC, menunjukkan bahwa DBatLoader dipelihara secara aktif untuk menghapus malware yang dapat mengumpulkan informasi sensitif dan memungkinkan kendali jarak jauh pada sistem. Serangkaian serangan baru-baru ini, yang ditemukan sejak akhir Juni, juga bertujuan untuk menyebarkan malware komoditas seperti Agen Tesla dan Warzone RAT.
Mayoritas email dikirim hanya ke penutur bahasa Inggris, meskipun email dalam bahasa Spanyol dan Turki juga dilihat.
“Dalam beberapa kampanye yang diamati, pelaku kejahatan melakukan kontrol yang cukup terhadap infrastruktur email untuk memungkinkan email berbahaya melewati metode otentikasi email SPF, DKIM,” kata perusahaan itu, dan DMARC”.
“Sebagian besar kampanye memanfaatkan OneDrive untuk menjalankan dan mengambil muatan tambahan, dan sebagian kecil menggunakan relay[.]sh atau domain baru/yang disusupi.”
Baca Juga : Menkominfo Beri Instruksi untuk Segera Berantas Judi Online dalam Tenggat Waktu Seminggu
Dalam berita terkait, Malwarebytes mengungkapkan bahwa kampanye malvertising baru menargetkan pengguna yang mencari perangkat lunak konferensi video Webex Cisco di mesin pencari seperti Google untuk mengarahkan mereka ke situs web palsu yang menyebarkan malware BATLOADER.
Sementara itu, BATLOADER menjalin kontak dengan server jarak jauh untuk mengunduh payload terenkripsi tahap kedua, yang merupakan jenis lain dari keylogging dan pencuri malware yang disebut DanaBot. Teknik baru yang diadopsi oleh pelaku ancaman adalah dengan menggunakan URL pola pelacakan sebagai mekanisme penyaringan dan pengalihan untuk mengambil sidik jari dan mengidentifikasi calon korban yang diinginkan.
Pengunjung yang tidak memenuhi kriteria (misalnya, permintaan dari lingkungan sandbox) akan dialihkan ke situs Webex yang sah.
“Karena iklan tersebut tampak sah, orang pasti akan mengkliknya dan mengunjungi situs web berbahaya,” kata Jerome Segura, direktur intelijen ancaman di Malwarebytes.
“Jenis perangkat lunak yang digunakan dalam iklan menunjukkan bahwa pelaku ancaman tertarik pada perusahaan korban yang akan memberi mereka kredensial yang berguna untuk ‘pengujian penetrasi’ jaringan berikutnya dan dalam beberapa kasus adalah penyebaran ransomware.”
