TrickBot Membuat Comeback dengan Modul VNC

  • Whatsapp
TrickBot Membuat Comeback dengan Modul VNC

 

Kebangkitan yang sedang berlangsung dari malware TrickBot berbahaya telah diungkapkan oleh peneliti keamanan siber dan menunjukkan bahwa kelompok penjahat siber transnasional yang berbasis di Rusia sekarang bekerja di belakang layar untuk meningkatkan infrastruktur serangan sebagai reaksi terhadap tindakan balasan baru-baru ini oleh pasukan polisi.
Kemampuan baru yang tidak terungkap digunakan untuk memantau dan mengumpulkan informasi intelijen tentang korban dengan menggunakan protokol komunikasi unik yang menyembunyikan pertukaran data antara server dan korban. [command and control], membuat serangan sulit diidentifikasi. Juga, tidak ada indikasi perlambatan yang ditunjukkan oleh TrickBot.
Botnet dibuat dengan menempatkan ratusan atau ribuan perangkat yang dibajak pada jaringan yang dikelola oleh operator kriminal yang biasanya digunakan untuk melakukan serangan penolakan jaringan terhadap perusahaan perdagangan gelap dan infrastruktur utama. Namun, pelaku jahat juga dapat menggunakan botnet dengan kontrol atas perangkat ini untuk menyebarkan malware dan spam atau untuk menerapkan enkripsi file ransomware pada komputer yang disusupi.
TrickBot juga sama. Geng kejahatan dunia maya yang terkenal — yang dikenal sebagai Wizard Spider — telah melacak cara mesin yang terinfeksi mencuri informasi rahasia dari sisi mereka dan berputar di seluruh jaringan dan bahkan memuat malware lain, seperti ransomware, dengan rantai infeksi mereka yang terus ditingkatkan dengan menambahkan modul yang menawarkan fungsi, untuk meningkatkan efisiensinya.
“TrickBot telah berevolusi untuk menggunakan infrastruktur kompleks yang mengkompromikan server pihak ketiga dan menggunakannya untuk meng-host malware,” ungkap Black Lotus Labs dari Lumen Oktober lalu. “Ini juga menginfeksi peralatan konsumen seperti router DSL, dan operator kriminalnya terus-menerus memutar alamat IP mereka dan host yang terinfeksi untuk membuat gangguan kejahatan mereka sesulit mungkin.”
Aktor ancaman sekarang telah diidentifikasi, sesuai dengan Bitdefender. Pelaku ancaman telah secara aktif membangun versi terbaru dari modul “vncDll” yang menggunakan target profil yang dipilih untuk pengawasan dan pengumpulan intelijen. “tvncDll” adalah nama versi baru.
Botnet telah berhasil bertahan dari dua upaya pencopotan oleh Microsoft dan Komando Cyber ​​Amerika Serikat, yang memiliki operator yang mengembangkan elemen intrusi firmware yang memungkinkan peretas memasang pintu belakang di Unified Extensible Firmware Interface (UEFI), untuk menghindari deteksi anti-virus, pembaruan perangkat lunak atau bahkan penghapusan total dan penginstalan ulang sistem operasi komputer.
Modul baru dimaksudkan untuk berinteraksi dengan server yang diidentifikasi dalam file konfigurasinya sebagai salah satu dari sembilan server Command and Control (C2), menggunakan server, untuk mengumpulkan beberapa perintah, mengunduh muatan malware lebih lanjut, dan mengekstrak informasi dari mesin Anda.
Lebih lanjut, para peneliti juga menunjukkan bahwa mereka telah menemukan “alat penampil”, yang digunakan oleh penyerang untuk terhubung dengan korban di server C2.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *