Emotet Sekarang Menggunakan Format Alamat IP Tidak Biasa untuk Menghindari Deteksi

  • Whatsapp
Emotet
Emotet Sekarang Menggunakan Format Alamat IP Tidak Biasa untuk Menghindari

News.nextcloud.asia –

emote

Kampanye rekayasa sosial yang melibatkan penyebaran botnet malware Emotet telah diamati menggunakan format alamat IP “tidak konvensional” untuk pertama kalinya dalam upaya untuk menghindari deteksi oleh solusi keamanan.

Ini melibatkan penggunaan representasi heksadesimal dan oktal dari alamat IP yang, ketika diproses oleh sistem operasi yang mendasarinya, secara otomatis dikonversi “ke representasi quad desimal bertitik untuk memulai permintaan dari server jarak jauh,” Analis Ancaman Trend Micro, Ian Kenefick , dikatakan dalam laporan Jumat.

Pencadangan GitHub Otomatis

Rantai infeksi, seperti serangan terkait Emotet sebelumnya, bertujuan untuk mengelabui pengguna agar mengaktifkan makro dokumen dan mengotomatiskan eksekusi malware. Dokumen tersebut menggunakan Excel 4.0 Macros, sebuah fitur yang telah berulang kali disalahgunakan oleh pelaku jahat untuk mengirimkan malware.

Setelah diaktifkan, makro memanggil URL yang dikaburkan dengan tanda sisipan, dengan host menggabungkan representasi heksadesimal dari alamat IP — “h^tt^p^:/^/0xc12a24f5/cc.html” — untuk menjalankan aplikasi HTML (HTA ) kode dari host jarak jauh.

emote

Varian kedua dari serangan phishing mengikuti modus operandi yang sama, satu-satunya perbedaan adalah bahwa alamat IP sekarang dikodekan dalam format oktal — “h^tt^p^:/^/0056.0151.0121.0114/c.html”.

“Penggunaan alamat IP heksadesimal dan oktal yang tidak konvensional dapat mengakibatkan menghindari solusi saat ini yang bergantung pada pencocokan pola,” kata Kenefick. “Teknik penghindaran seperti ini dapat dianggap sebagai bukti penyerang terus berinovasi untuk menggagalkan solusi deteksi berbasis pola.”

Mencegah Pelanggaran Data

Perkembangan itu terjadi di tengah aktivitas Emotet yang diperbarui akhir tahun lalu setelah jeda selama 10 bulan setelah operasi penegakan hukum yang terkoordinasi. Pada Desember 2021, para peneliti menemukan bukti malware yang mengembangkan taktiknya untuk menjatuhkan Cobalt Strike Beacons langsung ke sistem yang disusupi.

Temuan ini juga muncul saat Microsoft mengungkapkan rencana untuk menonaktifkan Makro Excel 4.0 (XLM) secara default untuk melindungi pelanggan dari ancaman keamanan. “Pengaturan ini sekarang default ke makro Excel 4.0 (XLM) dinonaktifkan di Excel (Build 16.0.14427.10000),” perusahaan diumumkan minggu lalu.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *