Trickbot Malware Kembali dengan Modul VNC baru untuk Memata-matai Korbannya

  • Whatsapp
Trickbot Malware

Peneliti keamanan siber telah membuka tutup tentang kebangkitan terus-menerus dari yang berbahaya Perangkat lunak perusak tipuan, memperjelas bahwa kelompok kejahatan dunia maya transnasional yang berbasis di Rusia bekerja di belakang layar untuk mengubah infrastruktur serangannya sebagai tanggapan atas upaya balasan baru-baru ini dari penegak hukum.

“Kemampuan baru yang ditemukan digunakan untuk memantau dan mengumpulkan informasi intelijen tentang korban, menggunakan protokol komunikasi khusus untuk menyembunyikan transmisi data antara [command-and-control] server dan korban — membuat serangan sulit dikenali,” Bitdefender berkata dalam tulisan teknis yang diterbitkan Senin, menunjukkan peningkatan kecanggihan taktik kelompok.

Bacaan Lainnya

“Trickbot tidak menunjukkan tanda-tanda melambat,” catat para peneliti.

Tim Stack Overflow

Botnet terbentuk ketika ratusan atau ribuan perangkat yang diretas dimasukkan ke dalam jaringan yang dijalankan oleh operator kriminal, yang kemudian sering digunakan untuk meluncurkan serangan penolakan jaringan untuk memukul bisnis dan infrastruktur penting dengan lalu lintas palsu dengan tujuan membuat mereka offline. Tetapi dengan kontrol perangkat ini, pelaku jahat juga dapat menggunakan botnet untuk menyebarkan malware dan spam, atau untuk menyebarkan ransomware enkripsi file pada komputer yang terinfeksi.

Trickbot tidak berbeda. Geng kejahatan dunia maya terkenal di balik operasi — dijuluki Laba-laba Penyihir — memiliki rekam jejak dalam mengeksploitasi mesin yang terinfeksi untuk mencuri informasi sensitif, berporos secara lateral di seluruh jaringan, dan bahkan menjadi pemuat malware lain, seperti ransomware, sambil terus meningkatkan rantai infeksinya dengan menambahkan modul dengan fungsionalitas baru untuk meningkatkan efektivitasnya .

Malware TrickBot

“TrickBot telah berevolusi untuk menggunakan infrastruktur kompleks yang membahayakan server pihak ketiga dan menggunakannya untuk meng-host malware,” Black Lotus Labs dari Lumen diungkapkan akhir Oktober. “Ini juga menginfeksi peralatan konsumen seperti router DSL, dan operator kriminalnya terus-menerus memutar alamat IP mereka dan host yang terinfeksi untuk membuat gangguan kejahatan mereka sesulit mungkin.”

Botnet sejak itu selamat dari dua upaya pencopotan oleh Microsoft dan Komando Cyber ​​AS, dengan operator mengembangkan komponen campur tangan firmware yang memungkinkan peretas memasang pintu belakang di Unified Extensible Firmware Interface (UEFI), memungkinkannya untuk menghindari deteksi antivirus, perangkat lunak pembaruan, atau bahkan penghapusan total dan penginstalan ulang sistem operasi komputer.

Mencegah Pelanggaran Data

Sekarang menurut Bitdefender, aktor ancaman telah ditemukan secara aktif mengembangkan versi terbaru dari modul yang disebut “vncDll” yang digunakannya terhadap target profil tinggi tertentu untuk pemantauan dan pengumpulan intelijen. Versi baru diberi nama “tvncDll.”

Modul baru ini dirancang untuk berkomunikasi dengan salah satu dari sembilan server perintah-dan-kontrol (C2) yang ditentukan dalam file konfigurasinya, menggunakannya untuk mengambil serangkaian perintah serangan, mengunduh lebih banyak muatan malware, dan mengekstraksi yang dikumpulkan dari mesin kembali ke server. Selain itu, para peneliti mengatakan mereka mengidentifikasi “alat penampil,” yang digunakan penyerang untuk berinteraksi dengan korban melalui server C2.

Sementara upaya untuk menghentikan operasi geng mungkin tidak sepenuhnya berhasil, Microsoft diberitahu The Daily Beast yang bekerja dengan penyedia layanan internet (ISP) untuk pergi dari pintu ke pintu menggantikan router yang dikompromikan dengan malware Trickbot di Brasil dan Amerika Latin, dan secara efektif mencabut infrastruktur Trickbot di Afghanistan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *