Situs web palsu ProtonVPN yang dipromosikan dalam kampanye malware geng AZORult. | Foto: Kapsersky
Situs web palsu ProtonVPN yang dipromosikan dalam kampanye malware geng AZORult. | Foto: Kapsersky
Cyberthreat.id – AZORult, salah satu malware lawas yang terkenal dengan pencurian data ini, muncul dengan taktik baru.
Gerilya yang dilancarkan operator AZORult kali ini berkedok sebagai penginstal (installer) aplikasi jaringan virtual pribadi (VPN) ProtonVPN—satu grup dengan layanan email gratis terenkripsi ProtonMail yang dikembangkan oleh Proton Technologies AG asal Swiss.
Dalam riset teranyar, peneliti Kaspersky mendeteksi operator AZORult sejak akhir November 2019 mendistribusikan situs web palsu yang menawarkan installer ProtonVPN. Installer tersebut berisi malware di dalamnya.
“Ini salah satu kampanye [ancaman siber] yang paling tidak biasa,” tulis Peneliti Kaspersky Dmitry Bestuzhev di laporannya bertajuk AZORult spreads as a fake ProtonVPN installer pada Selasa (18 Februari 2020).
Peneliti mengatakan, kampanye jebakan (phishing) tersebut khususnya menargetkan para pengguna komputer Windows. Salah satu vektor penyebaran alamat situs web palsu itu melalui spanduk iklan berbahaya (malvertising). “Ketika korban mengunjungi situs web palsu dan mengunduh installer ProtonVPN palsu untuk Windows, mereka menerima salinan implan botnet AZORult,” tulis Dmitry.
Operator kampanye membuat salinan identik dari situs web resmi ProtonVPN dengan bantuan crawler web HTTrack, perangkat lunak open source dan utilitas pengunduh situs web (lihat gambar di bawah ini). Mereka mendaftarkan domain barunya itu dengan nama protonvpn[.]store di perusahaan penyedia nama domain asal Rusia.
Setelah installer ProtonVPN palsu bernama: ProtonVPN_win_v1.10.0[.]exe diluncurkan, malware mulai mengumpulkan informasi sistem yang dikirimkan ke server perintah dan kontrol (C2) yang terletak di peladen (server) yang sama di situs palsu accounts[.]protonvpn[.]store.
Operator AZORult merancang malware ini untuk mencuri mata uang kripto (cryptocurrency) dari dompet yang tersedia secara lokal (Electrum, Bitcoin, Etherium, dll.).
Selain itu, mereka juga memanen log-in dan kata sandi File Transfer Protocol (FTP) dari FileZilla (perangkat lunak open source untuk mentransfer file berukuran besar dengan aman dan cepat) dari perangkat korban.
Juga, malware diberi tugas mencuri kredensial email, informasi dari browser yang diinstal secara lokal (termasuk kuki/cookies), kredensial untuk WinSCP, Pidgin messenger dan lainnya.
Perusahaan keamanan siber, TrendMicro, menyebut AZORult pertama kali muncul pada 2016 dan memiliki riwayat pencuri data ulung. Mereka terkenal hidup di forum bawah tanah berbahasa Rusia. Selain mencuri data, mereka juga piawai membawa malware. Kit exploit seperti Fallout Exploit Kit dan email phishing dengan kombinasi teknik rekayasa sosial menjadi ciri vektor infeksi malware AZORult.
Ini bukan pertama kalinya penjahat siber menggunakan situs VPN palsu untuk mendistribusikan muatan malwarenya. Sebelumnya, situs web resmi NordVPN juga pernah digunakan sebagai platform pengiriman Trojan pencuri informasi perbankan.
Tak hanya itu, VPN palsu bernama Pirate Chick VPN juga pernah digunakan untuk menginfeksi korban dengan Trojan mencuri kata sandi pada tahun lalu. AZORult juga dikirimkan melalui situs web BleachBit palsu dengan tujuan memanen dan menggali kembali kredensial dan file para korban, tulis BleepingComputer.[]
Redaktur: Andi Nugroho
Share:
