Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Para peneliti menemukan varian baru malware TrickBot yang mengandalkan teknik anti-analisis baru atas sistem antivirus, metode yang diperbarui untuk mengunduh muatan (payload), dan mengadopsi perubahan kecil pada integrasi komponen-komponennya.
TrickBot adalah malware berbasis modul yang, meski pertama kali diidentifikasi sebagai trojan perbankan, secara bertahap memperluas fungsinya untuk memasukkan pengumpulan kredensial dari email, browser, dan aplikasi jaringan yang diinstal oleh korban.
Malware tersebut juga telah berevolusi untuk mengirim spam ke daftar email korban, mengadopsi metode penghindaran deteksi baru serta bertindak sebagai kendaraan pengiriman untuk malware lain, seperti Emotet.
Baru-baru ini, operator di balik TrickBot tampaknya mengubah metode anti-deteksi mereka, ujar peneliti Xiaopeng Zhang yang bersama tim ancaman FortiGuard Labs dari Fortinet baru saja merilis temuannya, Senin (9 Maret 2020).
Berita Terkait:
“TrickBot telah aktif selama bertahun-tahun. Versi konfigurasi server sekarang 1000502, dibandingkan dengan nomor versi ketika kami pertama kali menangkapnya pada 2016, yaitu 1000004. Kami pikir itu akan terus meningkatkan diri dari waktu ke waktu," kata dia seperti dikutip dari ThreatPost, Rabut (11 Maret).
Zhang bersama tim peneliti lain di FortiGuard Labs menemukan varian terbaru dalam dokumen Ms Word berbahaya. Mereka meyakini hal itu bagian dari aksi serangan phishing.
Ketika dokumen Ms Word jahat dibuka, ia meminta korban untuk "Aktifkan Konten”, yang kemudian mengeksekusi Makro jahat (dalam kode VBA) dieksekusi. Kode VBA kemudian mengekstraksi file ("C: \ AprilReport \ List1.jse") yang akhirnya menjalankan file JavaScript besar yang disebut "List1.jse."
Varian payload baru
Dalam perubahan lain untuk TrickBot, muatan yang diunduh dalam varian terbaru adalah file DLL (dynamic link-library) (yang dijalankan oleh "rundll32.exe"), sedangkan pada varian sebelumnya, payload adalah file .exe.
Setelah mengunduh payload TrickBot dalam file di folder% temp%, file JavaScript kemudian menyalin dirinya ke folder startup Windows sehingga dapat memulai setiap kali OS Windows dimulai. Metode kegigihan ini adalah pembeda utama lainnya dari versi TrickBot sebelumnya, yang digunakan untuk menginstal sendiri sebagai Tugas Terjadwal atau ditambahkan ke grup Auto-Run registri sistem untuk mempertahankan kegigihan, kata para peneliti.
Berita Terkait:
Setelah payload dijalankan, ini mirip dengan versi malware TrickBot sebelumnya. Modul unduhan payload dari server Command and Control (C2), dan memuat dan mengeksekusi mereka. Modul-modul ini mencakup serangkaian perintah, termasuk mengirimkan informasi sistem korban dan alamat IP global ke server C2; exfiltrating data (seperti Log on User Name, status jaringan, kredensial dll.); meminta server C2 untuk berbagai tugas dan banyak lagi.
Dalam sedikit modifikasi lain, varian TrickBot terbaru juga mengintegrasikan modul "systeminfo" ke dalam file payload, yang merupakan modul mandiri sebelumnya. Perintah ini memberi tahu server bahwa modul "systeminfo" sukses.
Sementara sebelumnya, "systeminfo" adalah file DLL yang digunakan untuk mengumpulkan informasi sistem dari perangkat korban dan kemudian mengirimkannya ke servernya, modul sudah terintegrasi ke dalam versi terbaru dari TrickBot, kata para peneliti.
Akhirnya, peneliti mengatakan bahwa varian terbaru juga mencerminkan perubahan dalam perintah yang digunakan untuk meminta data konfigurasi server terbaru. Konfigurasi sekarang "1000502” daripada konfigurasi sebelumnya "1000004."
Zhang meyakini bahwa TrickBot akan terus berkembang, terutama dalam hal fungsi modularnya.
"Kami pikir itu akan terus meningkatkan diri dan menambahkan lebih banyak modul untuk memperluas fungsinya. Karena desain modularnya, dimungkinkan untuk melakukan itu," kata dia.[]
Share:
