Malware TrickBot Menggunakan Teknik Baru untuk Menghindari Serangan Injeksi Web

  • Whatsapp
TrickBot Malware
Malware TrickBot Menggunakan Teknik Baru untuk Menghindari Serangan Injeksi Web

News.nextcloud.asia –

Malware TrickBot

Operator kejahatan dunia maya di balik malware TrickBot yang terkenal jahat sekali lagi meningkatkan taruhannya dengan menyempurnakan tekniknya dengan menambahkan beberapa lapisan pertahanan untuk melewati produk antimalware.

“Sebagai bagian dari eskalasi itu, injeksi malware telah dilengkapi dengan perlindungan tambahan untuk mencegah peneliti keluar dan melewati kontrol keamanan,” IBM Trusteer dikatakan dalam sebuah laporan. “Dalam kebanyakan kasus, perlindungan ekstra ini telah diterapkan pada suntikan yang digunakan dalam proses penipuan perbankan online — aktivitas utama TrickBot sejak dimulainya setelah Trojan mahalkematian.”

TrickBot, yang dimulai sebagai trojan perbankan, telah berkembang menjadi crimeware-as-a-service (CaaS) multiguna yang digunakan oleh berbagai aktor untuk mengirimkan muatan tambahan seperti ransomware. Lebih dari 100 variasi TrickBot telah diidentifikasi hingga saat ini, salah satunya adalah modul “Trickboot” yang dapat memodifikasi firmware UEFI dari perangkat yang disusupi.

Pencadangan GitHub Otomatis

Pada musim gugur tahun 2020, Microsoft bersama dengan beberapa lembaga pemerintah AS dan perusahaan keamanan swasta bekerja sama untuk menangani botnet TrickBot, menghancurkan sebagian besar infrastrukturnya di seluruh dunia dalam upaya untuk menghalangi operasinya.

Tetapi TrickBot telah terbukti tahan terhadap upaya penghapusan, dengan operator yang dengan cepat menyesuaikan teknik mereka untuk menyebarkan malware multi-tahap melalui serangan phishing dan malspam, belum lagi memperluas saluran distribusi mereka dengan bermitra dengan afiliasi lain seperti Shathak (alias TA551) ke meningkatkan skala dan mendorong keuntungan.

Malware TrickBot

Baru-baru ini, kampanye malware yang melibatkan Emotet telah membonceng TrickBot sebagai “layanan pengiriman”, memicu rantai infeksi yang menjatuhkan alat pasca-eksploitasi Cobalt Strike langsung ke sistem yang disusupi. Pada Desember 2021, diperkirakan 140.000 korban di 149 negara telah terinfeksi oleh TrickBot.

Pembaruan baru yang diamati oleh IBM Trusteer terkait dengan waktu nyata injeksi web digunakan untuk mencuri kredensial perbankan dan cookie browser. Ini bekerja dengan mengarahkan korban ke domain replika ketika mencoba menavigasi ke portal perbankan sebagai bagian dari apa yang disebut serangan man-in-the-browser (MitB).

Juga digunakan adalah mekanisme injeksi sisi server yang mencegat respons dari server bank dan mengarahkannya ke server yang dikendalikan penyerang, yang, pada gilirannya, memasukkan kode tambahan ke halaman web sebelum diteruskan kembali ke klien.

Mencegah Pelanggaran Data

“Untuk memfasilitasi pengambilan injeksi yang tepat pada saat yang tepat, malware TrickBot penduduk menggunakan pengunduh atau pemuat JavaScript (JS) untuk berkomunikasi dengan server injeksinya,” kata Michael Gal, peneliti web keamanan di IBM.

Garis pertahanan lain yang mengadopsi versi terbaru TrickBot menunjukkan penggunaan komunikasi HTTPS terenkripsi dengan server command-and-control (C2) untuk mengambil suntikan; mekanisme anti-debugging untuk menggagalkan analisis; dan cara baru untuk mengaburkan dan menyembunyikan injeksi web, termasuk penambahan kode yang berlebihan dan penggabungan representasi hex untuk menginisialisasi variabel.

Khususnya, setelah mendeteksi upaya apa pun yang dilakukan untuk mempercantik skrip yang disuntikkan, fitur anti-debugging TrickBot memicu kelebihan memori yang akan membuat laman mogok, yang secara efektif mencegah pemeriksaan malware.

“TrickBot Trojan dan geng yang mengoperasikannya telah menjadi pokok kejahatan dunia maya sejak mereka mengambil alih ketika pendahulunya, Dyre, bangkrut pada 2016,” kata Gal. “TrickBot tidak pernah beristirahat sehari pun. Antara upaya penghapusan dan pandemi global, TrickBot telah mendiversifikasi model monetisasinya dan tumbuh lebih kuat.”

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *