Ficker – Malware Pencuri Info yang Didistribusikan oleh Rusia

  • Whatsapp
Ficker – Malware Pencuri Info yang Didistribusikan oleh Rusia

 

Pelaku ancaman menggunakan model Malware-as-a-Service (MaaS) untuk menyerang pengguna Windows, menurut para peneliti. Malware pencuri info baru “Ficker” ditemukan dan disebarluaskan melalui forum bawah tanah Rusia oleh aktor ancaman. FickerStealer adalah keluarga malware pencuri data yang pertama kali muncul pada tahun 2020. Ini dapat mencuri data sensitif seperti kata sandi, kata sandi browser online, dompet cryptocurrency, informasi klien FTP, informasi Windows Credential Manager, dan informasi sesi dari berbagai obrolan dan email klien.
Tidak seperti di masa lalu, ketika Ficker disebarkan melalui tautan web Trojan dan situs web yang diretas, menyebabkan korban mengunduh muatan secara tidak sengaja, wabah saat ini diam-diam dan menggunakan pengunduh malware terkenal Hancitor untuk menyebar.
Malware Hancitor (juga dikenal sebagai Chanitor) pertama kali muncul di alam liar pada tahun 2013, mengandalkan teknik rekayasa sosial seperti menyamar sebagai DocuSign, layanan penandatanganan dokumen asli. Malware ini menipu pengguna agar membiarkan kode makronya yang berbahaya berjalan, memungkinkannya menginfeksi komputer korban. Hancitor akan mencoba mengunduh berbagai komponen berbahaya tambahan setelah terhubung ke infrastruktur command-and-control (C2), tergantung pada kampanye jahat terbaru operatornya.
Serangan dimulai dengan penyerang mengirim email spam berbahaya dengan dokumen Microsoft Word yang dipersenjatai, yang sepenuhnya palsu namun menyamar sebagai hal yang nyata. Konten email spam membujuk korban untuk membukanya, mengakibatkan eksekusi kode makro berbahaya yang memungkinkan Hancitor berkomunikasi dengan server perintah dan kontrol dan mendapatkan URL jahat yang berisi sampel Ficker.
Ini menggunakan pendekatan penghindaran untuk menghindari deteksi dengan menyuntikkan Ficker ke dalam instance svchost.exe di PC korban dan menyembunyikan aktivitasnya. Pelaku ancaman secara rutin menggunakan svchost.exe untuk menyembunyikan malware dalam proses sistem dan menghindari deteksi oleh perangkat lunak antivirus biasa.
Para peneliti juga menemukan bahwa Ficker sangat dikaburkan, mencegahnya untuk dieksekusi di lingkungan virtual dengan menggunakan beberapa pemeriksaan analisis. Pembuat malware juga menyertakan fitur eksekusi dalam malware, mencegahnya dieksekusi di negara-negara tertentu seperti Rusia, Uzbekistan, Belarus, Armenia, Kazakhstan, dan Azerbaijan.
Menurut laporan Blackberry, “Malware ini juga memiliki kemampuan screen-grab, yang memungkinkan operator malware untuk mengambil gambar dari layar korban dari jarak jauh. Malware ini juga memungkinkan pengambilan file dan kemampuan pengunduhan tambahan setelah koneksi ke C2-nya dibuat.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *