Cyberthreat.id – Peneliti perusahaan keamanan siber Bitdefender menemukan bentuk baru dari malware Trickbot yang menargetkan perusahaan telekomunikasi, universitas, dan lembaga keuangan di AS dan Hong Kong.

Target-target itu dipilih sebelumnya berdasarkan alamat IP. Ini menunjukkan bahwa penyerang mengejar mereka secara khusus. Malware baru tersebut diduga aktif sejak Januari 2020.

Sekarang Trickbot telah diperbarui dengan kemampuan baru lainnya dengan modul yang menggunakan serangan brute force. "Kami melihatnya seperti serangan yang ditargetkan," Liviu Arsene, analis senior ancaman siber Bitdefender, seperti dikutip dari ZDNet, Rabu (18 Maret 2020). Hasil temuan bisa cek di sini.

Trickbot beroperasi sejak 2016 yang terkenal dengan trojan perbankan. Trojan ini selalu masuk dalam 10 besar malware paling populer. Bersama Emotet dan Ramnit, Trickbot silih berganti mengisi posisi tiga besar di kategori trojan perbankan paling populer.

Bukti yang ditemukan peneliti ialah penyerang menggunakan daftar nama pengguna dan kata sandi dan tidak melalui keseluruhan “dictionary attack”—serangan brute force yang menggunakan kamus kata sandi.

“Ini berarti mereka memiliki semacam pengetahuan atau pengalaman sebelumnya tentang kata sandi yang digunakan admin IT untuk mengelola jaringan itu. Mereka tidak akan memilih dari daftar kata sandi, kecuali daftar ini terbukti berharga di masa lalu,” ujar Liviu.

---

Berita Terkait:

• FortiGuard Lab Identifikasi Varian Baru Malware TrickBot
• Trickbot: Malware Siluman yang Punya Banyak Trik
• Versi Terbaru TrickBot Melumpuhkan Windows Defender
• Lake City Membayar Tebusan Setelah Dikunci Triple Threat

---

Setelah Trickbot mendapatkan akses, peretas terlihat bergerak di sekitar jaringan dengan bantuan kerentanan EternalRomance SMB. Malware ini mengintai di jaringan dan mencuri kredensial, seperti informasi browser, nama pengguna dan kata sandi, dokumen sensitif, informasi keuangan, kekayaan intelektual dan banyak lagi.

Peneliti menduga target layanan telekomunikasi memungkinkan dimanfaatkan jaringan komunikasinya dalam membantu operasi serangan. Selanjutnya, yang diharapkan dari target kampus ialah akses kekayaan intelektual. Sementara, serangan layanan keuangan berkaitan dengan pasar saham.

Trickbot sangat banyak digunakan, hampir tidak mungkin untuk menentukan siapa yang berada di balik aksi terbarunya ini. Sementara sejumlah besar infrastruktur komando dan kontrol berbasis di Rusia. Namun, itu bukan berarti peretas asal Rusia; kemungkinan hanya karena penyerang dengan mudah dapat mengkompromikan mesin di wilayah itu, yang mereka kemudian membuat bagian dari botnet.

"Malware bukan lagi sesuatu yang Anda sebarkan sekali dan lupakan, Anda membangun tulang punggung (backbone) dan kemudian Anda mulai menambah atau menghapus fitur sesuai keinginan untuk melayani tujuan apa pun," kata Liviu.

Untuk melindungi dari serangan Trikcbot, Liviu menyarankan sejumlah langkah sederhana: pertama, pastikan jaringan ditambal dengan pembaruan keamanan terbaru sehingga malware tidak dapat mengeksploitasi kelemahan yang diketahui, seperti EternalRomance telah ditambal selama bertahun-tahun.

---

Berita Terkait:

• Italia Diserbu TrickBot Malware Lewat Email Spam Covid-19
• Awas, TrickBot Berbahaya Mem-Bypass Windows 10
• Varian Baru TrickBot Targetkan Pelanggan Wireless AS

---

Kedua, batasi akses ke port jarak jauh jika memungkinkan dan ketiga, pastikan memanfaatkan otentikasi multi-faktor. Jadi, jika penyerang berhasil memaksa kata sandi, mereka tidak dapat masuk karena lapisan keamanan tambahan itu. "Itu adalah langkah-langkah keamanan dasar yang harus Anda terapkan di organisasi mana pun," Liviu menegaskan.

Sebelumnya, FortiGuard Labs juga menemukan varian baru malware TrickBot yang mengandalkan (1) teknik anti-analisis baru atas sistem antivirus, (2) metode yang diperbarui untuk mengunduh muatan (payload), dan (3) mengadopsi perubahan kecil pada integrasi komponen-komponennya.

Dalam modul baru, malware ini memperluas fungsinya untuk memasukkan pengumpulan kredensial dari email, browser, dan aplikasi jaringan yang diinstal oleh korban.

Malware tersebut juga telah berevolusi untuk mengirim spam ke daftar email korban, mengadopsi metode penghindaran deteksi baru serta bertindak sebagai kendaraan pengiriman untuk malware lain, seperti Emotet.

Selain itu, aktor Trickbot tampaknya mengubah metode anti-deteksi mereka, ujar peneliti Xiaopeng Zhang yang bersama tim ancaman FortiGuard Labs dari Fortinet.[]