Cyberthreat.id – Operasi malware-as-a-service (MaaS) baru bernama DuckLogs mengklaim telah digunakan oleh ribuan penjahat siber dan telah meluncurkan lebih dari 4.000 serangan malware.

DuckLogs emberikan penyerang berketerampilan rendah akses mudah ke beberapa modul untuk mencuri informasi, mencatat penekanan tombol, mengakses data clipboard, dan akses jarak jauh ke host yang disusupi.

Dikutip dari Bleeping Computer, operator tampaknya memberikan layanan tambahan kepada beberapa pelanggan, membantu mereka mendistribusikan muatan, alat untuk menjatuhkan file, dan pengubah ekstensi. Panel web menunjukkan bahwa lebih dari 2.000 penjahat dunia maya menggunakan platform jahat dan jumlah korban saat ini di atas 6.000.

Peneliti malware Cyble menangkap malware DuckLogs dan menerbitkan analisis teknis dari temuan mereka. berdasarkan analisis mereka, DuckLogs mencakup terutama pencuri informasi dan komponen trojan akses jarak jauh (RAT) tetapi memiliki lebih dari 100 modul individu yang menargetkan aplikasi tertentu.

Komponen RAT mendukung fungsi yang memungkinkan pengambilan file dari server perintah dan kontrol (C2) dan menjalankannya di host, menampilkan layar mogok, mematikan, memulai ulang, keluar, atau mengunci perangkat, atau membuka URL di browser.

“Modul DuckLogs lainnya memungkinkan penebangan keystrokes untuk mencuri informasi sensitif, clipper (biasanya digunakan untuk membajak transaksi cryptocurrency), dan alat untuk mengambil tangkapan layar,” ungkap peneliti Cyble.

Peneliti Cyble mengatakan bahwa malware juga mendukung pemberitahuan Telegram, log terenkripsi dan komunikasi, kebingungan kode, proses lekukan untuk meluncurkan muatan dalam memori, mekanisme kegigihan, dan jalan pintas untuk Kontrol Akun Pengguna Windows. Panel berbasis web saat ini tersedia di empat domain clearnet dan tampaknya menyediakan fitur pembuatan muatan yang kuat dengan opsi untuk modul dan fungsi yang akan ditambahkan ke pembuatan malware akhir.

Selain itu, pembuat menyediakan beberapa pilihan anti-penghindaran, seperti menambahkan pengecualian untuk Windows Defender, penundaan eksekusi muatan, atau menonaktifkan Pengelola Tugas di host.

Cyble mengatakan bahwa vektor infeksi awal kemungkinan besar terjadi melalui email (spam, phishing). Para peneliti merekomendasikan pengguna untuk memeriksa keaslian pesan yang mencurigakan dan tidak membuka tautan dari sumber yang tidak tepercaya.

Data sensitif yang disalin ke clipboard harus diperiksa dengan cermat setelah menempelkannya untuk memastikan bahwa peretas tidak mengubah detail seperti tujuan transaksi.

Tindakan pencegahan lain yang berguna adalah untuk menghindari mengunduh file yang dapat dieksekusi dari torrent atau situs teduh, dan untuk selalu memperbarui perangkat lunak keamanan.