IND | ENG
Nworm, Taktik Siluman Hacker TrickBot Tak Terdeteksi Antivirus

Ilustrasi | Foto: freepik.com

Nworm, Taktik Siluman Hacker TrickBot Tak Terdeteksi Antivirus
Andi Nugroho Diposting : Senin, 01 Juni 2020 - 10:24 WIB

Cyberthreat.id – TrickBot berevolusi lagi. Perangkat lunak jahat (malware) “trojan perbankan” satu ini, terkenal sebagai pencuri informasi kredensial korban, diam-diam mengembangkan “mode siluman” yang menginfeksi Windows tanpa terdeteksi.

Operator TrickBot juga menambah kemampuan: menyebar melalui jaringan, mencuri basis data Active Directory Services, mencuri cookies dan OpenSSH keys, mencuri remoted desktop protocol (RDP), virtual network computing (VNC), kredensial PuTTy dan masih beberapa lagi.

Demikian laporan terbaru Unit 42—bagian dari Palo Alto Network, perusahaan keamanan siber Amerika Serikat—yang meriset dan memantau pergerakan aktivitas malware canggih tersebut.

TrickBot juga dilaporkan bermitra dengan operator ransomware, seperti Ryuk, untuk mendapatkan akses ke jaringan yang dikompromikan sehingga mereka dapat menggunakan ransomware.

Peneliti Unit 42 menemukan pengembang TrickBot merilis teknik baru bernama “Nworm”—taktik menyebar di jaringan tanpa terdeteksi saat menginfeksi pengontrol domain Windows (Windows domain controllers).

Sumber: Unit 42 Palo Alto Network

Ketika diinstal, TrickBot akan menganalisis perangkat. Jika malware mendeteksi berjalan di Windows Active Directory, selanjutnya diunduhlah “Mworm dan “mshare” yang digunakan untuk menyebarkan infeksi ke pengontrol domain yang rentan.

Pada September 2019, ketika TrickBot mulai menggunakan “Mworm” hingga Maret 2020, sayangnya “Mworm” dieksekusi dalam bentuk yang tidak dienkripsi ke pengontrol domain yang rentan.

Karena kondisi tidak terenkripsi, perangkat lunak keamanan (antivirus) yang diinstal di pengontrol domain dapat mendeteksi dan menghapusnya segera.

Untuk membuatnya lebih sulit dideteksi, pada April 2020 pengembang TrickBot merilis 'Nworm'.

Sejak itu, mereka menghentikan “Mworm”, demikian seperti dikutip dari BleepingComputer yang diakses Senin (1 Juni 2020).

“Nwrom” tidak hanya mengenkripsi TrickBot yang dapat dieksekusi sehingga tidak dapat dideteksi oleh perangkat lunak keamanan, tetapi juga meluncurkan infeksi pada pengontrol domain di memori.

Dengan menggunakan metode ini, TrickBot dapat dimasukkan ke dalam pengontrol domain dan dieksekusi tanpa terdeteksi.[]

#unit42   #paloaltonetwork   #trickbot   #nworm   #mworm   #trojan   #malware   #serangansiber   #hacker   #ancamansiber   #cyberthreat

Share:




BACA JUGA
Awas, Serangan Phishing Baru Kirimkan Keylogger yang Disamarkan sebagai Bank Payment Notice
Kamis, 28 Maret 2024 - 18:30 WIB
Malware Manfaatkan Plugin WordPress Popup Builder untuk Menginfeksi 3.900+ Situs
Selasa, 12 Maret 2024 - 19:08 WIB
CHAVECLOAK, Trojan Perbankan Terbaru
Selasa, 12 Maret 2024 - 14:21 WIB
Microsoft Ungkap Aktivitas Peretas Rusia Midnight Blizzard
Senin, 11 Maret 2024 - 13:07 WIB
BSSN Selenggarakan Workshop Tanggap Insiden Siber Sektor Keuangan, Perdagangan dan Pariwisata
Minggu, 25 Februari 2024 - 08:05 WIB