Penjahat Siber Gabungkan Sertifikat Phishing dan EV untuk Mengirimkan Muatan Ransomware

Penjahat Siber Gabungkan Sertifikat Phishing dan EV untuk Mengirimkan Muatan Ransomware

Posted by : Admin , Sep 21, 2023
Pelaku ancaman di balik pencuri data RedLine dan Vidar ditemukan menggunakan ransomware melalui kampanye phishing yang menggunakan muatan asli yang ditandatangani dengan sertifikat penandatanganan kode Extended Validation (EV).
 
 “Hal ini menunjukkan bahwa  pelaku ancaman menyederhanakan operasi mereka dengan mendiversifikasi teknik mereka,” kata peneliti Trend Micro dalam analisis baru yang diterbitkan minggu ini dan dikutip oleh  Hacker News.
 
 Dalam kasus yang diselidiki oleh perusahaan keamanan siber, korban anonim dilaporkan pertama kali menerima malware pencuri informasi melalui sertifikat penandatanganan kode EV dan kemudian ransomware menggunakan teknik pengiriman yang sama.
 
 Di masa lalu,  The Hacker News menulis, infeksi QakBot telah mengeksploitasi sampel yang ditandatangani dengan sertifikat penandatanganan kode yang valid untuk melewati  keamanan.
 
 Serangan dimulai dengan email phishing yang menggunakan umpan lama untuk mengelabui korban agar mengeksekusi lampiran berbahaya yang menyamar sebagai gambar PDF atau JPG, namun sebenarnya adalah file  yang dapat dieksekusi yang, ketika dijalankan, memicu kompromi. Meskipun kampanye yang ditargetkan mengirimkan malware tersembunyi kepada korban pada bulan Juli, muatan ransomware muncul pada awal Agustus setelah mengirimkan email yang berisi lampiran email keluhan TripAdvisor palsu ("TripAdvisor-Complaint.pdf.htm"). Distribusi ransomware.
 
 “Perlu dicatat pada titik ini bahwa, tidak seperti contoh repositori yang kami periksa, file yang digunakan untuk menghapus muatan ransomware tidak memiliki sertifikat EV,” kata para peneliti.
 
 “Namun, keduanya berasal dari faktor ancaman yang sama dan menyebar melalui metode pengiriman yang sama. Oleh karena itu, kita dapat mengasumsikan adanya pembagian kerja antara pembuat muatan dan pengguna muatan.”
 
 Perkembangan ini bekerja dengan nama IBM
 
 Fitur-fitur baru DBatLoader memungkinkan bypass UAC, persistensi, dan penghentian proses, yang menunjukkan bahwa DBatLoader dipelihara secara aktif  untuk menghapus malware yang dapat mengumpulkan data sensitif dan memungkinkan administrasi sistem jarak jauh. Serangkaian serangan baru-baru ini, yang ditemukan sejak akhir Juni, juga bertujuan untuk memperkenalkan malware komoditas seperti Agen Tesla dan Warzone RAT.
 
 Sebagian besar email ditujukan hanya  kepada penutur bahasa Inggris, namun email dalam bahasa Spanyol dan Turki juga terlihat.
 
 “Dalam beberapa kampanye yang diamati,  pelaku ancaman memanipulasi infrastruktur email hingga ke titik di mana email berbahaya mampu melewati metode autentikasi email SPF, DKIM, dan DMARC,” kata perusahaan tersebut.
 
 "Sebagian besar kampanye menggunakan OneDrive untuk mengeksekusi dan memulihkan payload tambahan, dengan persentase kecil menggunakan transfer[.]sh atau domain baru/yang disusupi."
 
 Dalam laporan terkait, Malwarebytes mengungkapkan bahwa kampanye iklan baru menargetkan pengguna yang mencari perangkat lunak konferensi video Webex Cisco di mesin pencari seperti Google, mengarahkan mereka ke situs web palsu yang mendistribusikan malware BATLOADER.
 
 BATLOADER, di sisi lain, terhubung ke server jarak jauh untuk mengunduh payload terenkripsi tahap kedua, malware pencurian dan keylogging lainnya yang disebut DanaBot.  Teknik baru yang digunakan oleh pelaku ancaman adalah penggunaan pelacakan URL pola sebagai mekanisme penyaringan dan pengalihan untuk mengidentifikasi sidik jari dan potensi kepentingan.
 
 Pengunjung yang tidak memenuhi kriteria (misalnya permintaan  dari lingkungan sandbox) dialihkan ke situs Webex yang sah.
 
 “Karena iklan tersebut terlihat sangat sah, tidak ada keraguan bahwa orang-orang mengkliknya dan mengunjungi situs web berbahaya,” kata Jérôme Segura, direktur intelijen ancaman di Malwarebytes.
 
 “Jenis perangkat lunak yang digunakan dalam iklan tersebut menunjukkan bahwa pelaku ancaman tertarik pada korban korporat yang akan memberi mereka kredensial yang berguna untuk pelanggaran jaringan selanjutnya dan, dalam beberapa kasus, distribusi ransomware.”

Sumber : https://thehackernews.com/