Pakar Mengungkap Serangan Malware yang Menargetkan Jaringan Perusahaan di Amerika Latin

Serangan malware bandook

Peneliti keamanan siber pada hari Kamis mengumumkan kampanye spionase baru yang sedang berlangsung yang menargetkan jaringan perusahaan di negara-negara berbahasa Spanyol, khususnya Venezuela, untuk memata-matai para korbannya.

Dijuluki “bandido” oleh ESET karena penggunaan varian malware Bandook yang ditingkatkan, target utama pelaku ancaman adalah jaringan perusahaan di negara Amerika Selatan yang mencakup sektor manufaktur, konstruksi, perawatan kesehatan, layanan perangkat lunak, dan ritel.

Bacaan Lainnya

Ditulis dalam Delphi dan C++, Bandook memiliki sejarah dijual sebagai trojan akses jarak jauh komersial (RAT) sejak tahun 2005. Sejak itu, banyak varian telah muncul di lanskap ancaman dan digunakan dalam kampanye pengawasan yang berbeda pada tahun 2015 dan 2017, diduga oleh kelompok tentara bayaran cyber yang dikenal sebagai Dark Caracal atas nama kepentingan pemerintah di Kazakhstan dan Lebanon.

Dalam kebangkitan Trojan Bandook yang berkelanjutan, Check Point tahun lalu mengungkapkan tiga sampel baru — salah satunya mendukung 120 perintah — yang digunakan oleh musuh yang sama untuk menyerang pemerintah, keuangan, energi, industri makanan, perawatan kesehatan, pendidikan, TI, dan lembaga hukum yang berlokasi di Chili, Siprus, Jerman, Indonesia, Italia, Singapura, Swiss, Turki, dan AS

Rantai serangan terbaru dimulai dengan calon korban menerima email berbahaya dengan lampiran PDF, yang berisi URL singkat untuk mengunduh arsip terkompresi yang dihosting di Google Cloud, SpiderOak, atau pCloud dan kata sandi untuk mengekstraknya. Mengekstrak arsip mengungkapkan penetes malware yang memecahkan kode dan menyuntikkan Bandook ke dalam proses Internet Explorer.

Menariknya, varian terbaru Bandook yang dianalisis oleh ESET berisi 132 perintah, naik dari 120 perintah yang dilaporkan oleh Check Point, yang menyiratkan bahwa kelompok kriminal di balik malware mengembangkan alat jahat mereka dengan kemampuan dan kekuatan serangan yang ditingkatkan.

“Yang sangat menarik adalah fungsionalitas ChromeInject,” kata peneliti ESET Fernando Tavella. “Ketika komunikasi dengan server perintah dan kontrol penyerang dibuat, payload mengunduh file DLL, yang memiliki metode ekspor yang membuat ekstensi Chrome berbahaya. Ekstensi berbahaya mencoba mengambil kredensial apa pun yang diserahkan korban ke URL. Ini kredensial disimpan di penyimpanan lokal Chrome.”

Beberapa perintah utama yang mampu diproses oleh payload termasuk membuat daftar isi direktori, memanipulasi file, mengambil tangkapan layar, mengontrol kursor pada mesin korban, menginstal DLL berbahaya, menghentikan proses yang sedang berjalan, mengunduh file dari URL tertentu, mengekstrak hasil operasi ke server jauh, dan bahkan menghapus sendiri dari mesin yang terinfeksi.

Jika ada, perkembangan tersebut merupakan tanda lain bahwa musuh masih dapat memanfaatkan solusi crimeware lama untuk memfasilitasi serangan.

“[Bandook’s] keterlibatan dalam berbagai kampanye spionase different […] menunjukkan kepada kita bahwa itu masih merupakan alat yang relevan untuk penjahat dunia maya,” para peneliti berpendapat. “Juga, jika kita mempertimbangkan modifikasi yang dilakukan pada malware selama bertahun-tahun, ini menunjukkan kepada kita minat penjahat dunia maya untuk tetap menggunakan malware ini dalam kampanye jahat. , membuatnya lebih canggih dan lebih sulit dideteksi.”

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait