Malware InfoStealer Baru Menyebar Melalui Forum Bawah Tanah Rusia

  • Whatsapp
Malware InfoStealer Baru Menyebar Melalui Forum Bawah Tanah Rusia
Malware InfoStealer Baru Menyebar Melalui Forum Bawah Tanah Rusia
Ficker – Malware InfoStealer Baru Menyebar Melalui Forum Bawah Tanah Rusia untuk Menyerang Windows

Para peneliti menemukan malware pencuri info baru “Ficker” dan didistribusikan melalui forum bawah tanah Rusia oleh aktor ancaman sebagai model Malware-as-a-Service (MaaS) untuk menyerang pengguna Windows.

Pelaku ancaman dengan profil alias @ficker di forum underground Rusia memang sudah sering aktif di forum underground terkait penyebaran malware.

Pencuri info ficker tertulis di Karat dan telah didistribusikan dengan kemampuan bawaan seperti mencuri informasi, termasuk browser web, informasi kartu kredit, dompet kripto, klien FTP, dan aplikasi lainnya.

Pencuri info Ficker ditulis dalam Rust, dan telah didistribusikan dengan kemampuan bawaan seperti mencuri informasi, termasuk browser web, informasi kartu kredit, dompet kripto, klien FTP, dan aplikasi lainnya.

Juga, Penyerang menawarkan panel berbasis web kepada pembeli untuk menyerang, mengumpulkan, dan menganalisis data yang dicuri dari perangkat korban.

Proses Infeksi Ficker

Tidak seperti hari-hari sebelumnya ketika Ficker didistribusikan melalui tautan web yang di-trojan dan situs web yang disusupi di mana korban secara tidak sengaja mengunduh muatan, infeksi Saat ini telah diam-diam dan disebarkan dengan bantuan pengunduh malware yang dikenal, Hancitor.

Tahap awal serangan dimulai dengan mengirimkan email spam berbahaya di mana penyerang melampirkan dokumen Microsoft® Word yang dipersenjatai yang sepenuhnya palsu tetapi menyamar sebagai dokumen asli.

Konten email spam menipu korban untuk membukanya, yang mengarah ke menjalankan kode makro berbahaya yang memungkinkan Hansitor untuk menjangkau server perintah dan kontrol untuk menerima URL berbahaya yang berisi sampel Ficker

Untuk menghindari deteksi, ia menggunakan teknik penghindaran dengan menyuntikkan Ficker ke dalam instance svchost.exe di mesin korban dan menyembunyikan aktivitasnya.

svchost.exe sering disalahgunakan oleh pelaku ancaman untuk menyembunyikan malware mereka dalam proses sistem untuk menghindari deteksi dari pemindaian AV tradisional.

Alur Proses Ficker melalui infeksi awal Hancitor

Para peneliti juga menemukan bahwa Ficker sangat dikaburkan dan mencegah untuk menjalankan malware ke dalam lingkungan virtual dengan menerapkan pemeriksaan analisis berganda, juga pembuat malware mengatur fitur eksekusi di malware, sehingga malware tidak akan mengeksekusi jika berjalan di pilihan negara-negara seperti Rusia, Uzbekistan, Belarus, Armenia, Kazakhstan, Azerbaijan.

Proses Pencurian Data Ficker

Tidak seperti malware pencuri data tradisional lainnya yang mengumpulkan file dari disk dan membuat salinan lokal kemudian mengekstrak data melalui server C2. tetapi Ficker mengambil rute lain melalui instruksinya dan mengirimkan informasinya langsung ke operator malware.

Fitur menarik lainnya adalah bahwa pembuat malware Ficker menambahkan fitur unik yang mendekripsi data yang dicuri di sisi server daripada “sisi korban”, yang memungkinkan kontrol besar atas siapa yang diizinkan menggunakan malware.

Menurut Blackberry laporan “Malware ini juga memiliki kemampuan screen-grab, yang memungkinkan operator malware untuk mengambil gambar dari layar korban dari jarak jauh. Malware ini juga memungkinkan pengambilan file dan kemampuan pengunduhan tambahan setelah koneksi ke C2-nya dibuat”

Berikut data yang dapat dicuri oleh Ficker Malware:-

  • Peramban web Chromium
  • Kredensial login yang disimpan
  • Kue
  • Sejarah kompetisi otomatis
  • Browser web berbasis Mozilla.
  • Kredensial login yang disimpan
  • Kue
  • Riwayat lengkapi otomatis
  • Informasi Kartu Kredit
  • Dompet mata uang kripto
  • Klien FTP FileZilla
  • Klien FTP WinScp
  • Perselisihan masuk
  • akun uap
  • Akun Pijin
  • Akun Thunderbird

Akhirnya penulis mawlare dapat mengakses data Setelah informasi dikirim kembali ke C2 Ficker.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.