Para ahli memperingatkan bahwa peretas sekali lagi menggunakan penipuan klasik “karya crypto palsu” untuk mendistribusikan malware berbahaya.
Namun, alih-alih kelompok Lazarus Korea Utara yang biasa, kali ini Rusia mencoba memanfaatkan pekerja crypto yang mudah tertipu. Peneliti keamanan siber Trend Micro baru-baru ini melihat penjahat dunia maya Rusia yang tidak disebutkan namanya menargetkan pekerja cryptocurrency di Eropa Timur.
Mereka mengirim email yang mengundang para korban untuk mempertimbangkan tawaran pekerjaan baru di perusahaan crypto. Email tersebut berisi dua lampiran, satu file .txt yang tampaknya tidak berbahaya (berjudul “Pertanyaan Wawancara”) dan satu lagi jelas berbahaya (berjudul “Ketentuan Wawancara.word.exe”).
Bawa driver sensitif Anda sendiri
Serangan terdiri dari tiga langkah: jika korban menjalankan file yang dapat dieksekusi, dia mengunduh muatan kedua yang mengeksploitasi kerentanan pada driver Intel yang dilacak sebagai CVE-2015-2291. Metode ini, biasa disebut “Bring Your Own Rentan Driver”, memungkinkan penjahat dunia maya untuk menjalankan perintah dengan hak istimewa kernel dan menggunakan kemampuan ini untuk menonaktifkan perlindungan antivirus.
Setelah menonaktifkan antivirus, mereka memicu pengunduhan muatan ketiga, yang merupakan varian dari malware Stealerium yang disebut Enigma.
Malware yang diunduh dari saluran Telegram pribadi mampu mengekstraksi informasi sistem, token browser, kata sandi yang disimpan (menargetkan hampir semua browser populer saat ini, termasuk Chrome, Edge, Opera, dll.), data yang disimpan di program Outlook, Telegram, Signal, OpenVPN dan lainnya. Selain itu, Enigma dapat menangkap tangkapan layar dan mengekstrak konten clipboard.
Saat mendapatkan apa yang diinginkannya, Enigma mengemas semuanya dalam arsip Data.zip dan mengirimkannya kembali melalui Telegram.
Sementara tawaran pekerjaan palsu biasanya dilakukan Lazarus Group, Trend Micro percaya bahwa kali ini grup tersebut berasal dari Rusia. Rupanya, salah satu server masuk menampung panel Amadey C2, yang sangat populer di kalangan penjahat dunia maya Rusia. Selain itu, server menjalankan “Deniska”, varian Linux yang digunakan hampir secara eksklusif oleh orang Rusia – dan zona waktu default server juga disetel ke Moskow.
Oleh: Bip Komputer (terbuka di tab baru)
Recent Comments