Cyberthreat.id - Selama pandemi virus Corona, beberapa developer dan operator malware mencoba berbagai cara inovatif untuk meningkatkan persenjataan dan mempertajam serangannya. Akhir-akhir ini, operator trojan perbankan IcedID - dikenal juga sebagai BokBot - terus bekerja untuk menyempurnakan teknik dan taktik penyamarannya (obfuscation).

Dilansir Cyware Hacker News, salah satu temuan terbaru adalah ketika operator IcedID menggunakan lampiran email yang dilindungi password, menyamarkan kata kunci, dan kode makro sederhana untuk menghindari deteksi. IcedID adalah malware perbankan yang melakukan serangan Man-in-the-Browser untuk mencuri informasi keuangan.

Operasi serangan terbaru IcedID menggunakan email spam yang mengaku berasal dari departemen akuntansi bisnis yang dikenal atau lembaga-lembaga keuangan yang terpercaya.

Email tersebut dilengkapi dengan file zip yang dilindungi password. Perlindungan password dirancang untuk mencegah perangkat lunak analisis anti-malware mendekripsi dan menganalisis kemampuan jahat yang tersembunyi.

Badan email berisi password yang diperlukan untuk membuka file zip. Konten tersebut dibuat dengan cara yang membantu melewati (bypass) filter spam atau sistem deteksi phishing.

File ini berisi dokumen Word yang berbahaya dengan makro yang dirancang untuk mengunduh malware. Jadi, bagian dari triknya adalah meyakinkan pengguna untuk mengaktifkan makro di Microsoft Office. Sampai disini pengguna harus memahami modus operasi IcedID.

Trik DLL

Untuk menghindari deteksi lebih lanjut oleh solusi anti-malware, trojan IceID menggunakan Dynamic Link Library (DLL) sebagai bagian dari muatan tahap kedua.

File DLL berbahaya diunduh dari alamat IP yang berlokasi di Rusia. File berbahaya ini juga disimpan sebagai PDF untuk menjaga persistensi.

Ketika tahap kedua dijalankan, itu mengunduh modul utama IcedID sebagai file PNG, memunculkan proses msiexec.exe, dan memasukkan trojan ke dalamnya.

Insiden terbaru

Pertengahan Juni 2020, versi baru trojan IcedID ditemukan menyebar di seluruh Amerika Serikat (AS) memanfaatkan pandemi Covid-19 dan Family and Medical Leave Act (FMLA) sebagai temanya.

Juniper Threat Labs memantau operasi IcedID baru dengan taktik menyuntikkan diri ke msiexec.exe untuk menyembunyikan diri lalu menggunakan steganografi lengkap untuk mengunduh modul dan konfigurasinya.

Versi IcedID sebelumnya dimasukkan ke dalam svchost.exe dan mengunduh modul dan konfigurasi terenkripsi sebagai file ".dat". Operasi ini juga memanfaatkan pandemi Covid-19 dengan menggunakan kata kunci seperti Covid-19 dan FMLA pada nama pengirim email dan nama lampiran.

Sebelumnya, pada bulan Mei, malware Valak terlihat berkolaborasi dengan malware IcedID dan Ursnif, untuk menargetkan entitas bisnis dan organisasi di AS dan Jerman.

Versi terbaru Valak menargetkan server Microsoft Exchange untuk mencuri informasi surat dan password perusahaan, termasuk mengincar sertifikat perusahaan. Malware ini berniat mengakses akun perusahaan yang dianggap penting, menyebabkan kerusakan pada organisasi, mendegradasi merek perusahaan, sehingga akhirnya konsumen kehilangan kepercayaan (trust).

Valak adalah malware tersembunyi yang menggunakan teknik mengelak (evasive) canggih seperti ADS dan menyembunyikan komponen di registri.  Selain itu, developer Valak juga telah meninggalkan penggunaan PowerShell yang kini sudah dapat dideteksi dan dicegah oleh produk keamanan modern.

Kesimpulan

Developer trojan IcedID terus berupaya dalam evolusi malware ini. Dan untuk alasan ini, para developer ingin memanfaatkan upaya mereka dengan cara mendapatkan keuntungan melalui kredensial perbankan yang dicuri.

Untuk bisa bertahan dari serangan ini, tim keamanan disarankan agar lebih waspada terhadap operasi malspam, mengawasi aset keuangan masing-masing dengan ketat, dan menggunakan alat (tools) keamanan yang efektif untuk mendeteksi dan memblokir ancaman malware tersebut. []