Microsoft Memperingatkan Malware Pencuri Data yang Berpura-pura Menjadi Ransomware

  • Whatsapp
malware ransomware

Microsoft pada hari Kamis memperingatkan “kampanye email besar-besaran” yang mendorong malware STRRAT berbasis Java untuk mencuri data rahasia dari sistem yang terinfeksi sambil menyamar sebagai infeksi ransomware.

“RAT ini terkenal karena perilaku mirip ransomware dengan menambahkan ekstensi nama file .crimson ke file tanpa benar-benar mengenkripsinya,” tim Intelijen Keamanan Microsoft kata dalam serangkaian tweet.

Bacaan Lainnya

Gelombang serangan baru, yang dilihat perusahaan minggu lalu, dimulai dengan email spam yang dikirim dari akun email yang disusupi dengan “Pembayaran Keluar” di baris subjek, memikat penerima untuk membuka dokumen PDF berbahaya yang mengklaim sebagai pengiriman uang, tetapi kenyataannya, sambungkan ke domain jahat untuk mengunduh malware STRRAT.

auditor kata sandi

Selain membangun koneksi ke server perintah-dan-kontrol selama eksekusi, malware hadir dengan berbagai fitur yang memungkinkannya mengumpulkan kata sandi browser, mencatat penekanan tombol, dan menjalankan perintah jarak jauh dan skrip PowerShell.

STRRAT pertama kali muncul dalam lanskap ancaman pada Juni 2020, dengan perusahaan keamanan siber Jerman G Data mengamati malware Windows (versi 1.2) dalam email phishing yang berisi Botol (atau Arsip Java).

“RAT memiliki fokus pada pencurian kredensial browser dan klien email, dan kata sandi melalui keylogging,” analis malware G Data Karsten Hahn terperinci. “Ini mendukung browser dan klien email berikut: Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird.”

Kemampuan ransomware-nya paling tidak sempurna karena tahap “enkripsi” hanya mengganti nama file dengan menambahkan ekstensi “.crimson”. “Jika ekstensinya dicabut, file bisa dibuka seperti biasa,” imbuh Kahn.

Microsoft juga mencatat bahwa versi 1.5 lebih dikaburkan dan modular daripada versi sebelumnya, menunjukkan bahwa penyerang di balik operasi tersebut secara aktif bekerja untuk mengimprovisasi perangkat mereka. Tetapi fakta bahwa perilaku enkripsi palsu tetap tidak berubah menandakan bahwa grup tersebut mungkin bertujuan untuk menghasilkan uang cepat dari pengguna yang tidak curiga melalui pemerasan.

Indikator kompromi (IoCs) yang terkait dengan kampanye dapat diakses melalui GitHub sini.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *