Malware Sload Bertujuan Eropa Lagi

  • Whatsapp
Malware Sload Bertujuan Eropa Lagi

 

Sload (juga disebut sebagai pemuat Starslord) telah terbukti menjadi salah satu varian malware paling merusak dalam beberapa tahun terakhir. Biasanya bertindak sebagai pengunduh, yaitu virus komputer yang mengumpulkan dan mengekstrak data dari sistem yang terinfeksi untuk menganalisis target dan menjatuhkan muatan yang lebih signifikan jika target menguntungkan.
Sload telah aktif di Eropa setidaknya sejak 2018, dengan banyak vendor melaporkan serangan terhadap target di Inggris dan Italia. Alih-alih menggunakan dokumen yang dapat dieksekusi atau berbahaya untuk menyerang perangkat, pengembang malware telah memilih untuk menggunakan skrip yang melekat pada sistem operasi Windows seperti VBS dan PowerShell sebagai pijakan awal, menipu pengguna agar menjalankannya menggunakan spear phishing.
Pengunduh sedang menjalani pengembangan dan telah melalui beberapa iterasi; pencipta terus mengubah skrip tahap pertama tetapi modul utama pada dasarnya tetap tidak berubah.
Menurut laporan awal, virus ini mengunduh skrip PowerShell, yang kemudian mengunduh dan menjalankan Sload, menggunakan file LNK jahat (pintasan Windows). Edisi selanjutnya dimulai dengan skrip WSF/VBS yang dikaburkan yang sering bermutasi untuk menghindari deteksi oleh perangkat lunak anti-virus. Skrip awal yang digunakan dalam serangan memiliki skor VirusTotal yang rendah dan dimaksudkan untuk melampaui teknologi keamanan yang kompleks seperti EDR.
Tahun ini, Minerva Labs telah melihat infeksi Sload datang dari titik akhir Italia. Skrip yang mereka temukan adalah skrip WSF yang dikaburkan yang menerjemahkan urutan perintah jahat dan kemudian secara diam-diam mengunduh dan menjalankan muatan jarak jauh di memori setelah dieksekusi.
Script melakukan ini dengan mengganti nama biner Windows legal, yang merupakan metode penghindaran langsung. Baik “bitsadmin.exe” dan “Powershell.exe” disalin dan diganti namanya, dengan yang pertama digunakan untuk mengunduh skrip PowerShell yang berbahaya dan yang terakhir memuatnya ke dalam memori dan menjalankannya.
Muatan akhir pengunduh bervariasi, tetapi telah diketahui menjatuhkan trojan perbankan Ramnit dan Trickbot, keduanya merupakan malware yang sangat berbahaya yang dapat menyebabkan serangan ransomware.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *