Cyberthreat.id – Peneliti keamanan siber mengamati lonjakan aktivitas TrueBot pada Mei 2023. "TrueBot adalah botnet trojan pengunduh yang menggunakan server command dan control untuk mengumpulkan informasi tentang sistem yang dikompromikan dan menggunakan sistem yang dikompromikan itu sebagai titik peluncuran untuk serangan lebih lanjut," kata Fae Carlisle dari Vmware sebagaimana dikutip The Hacker News.

Aktif setidaknya sejak 2017, TrueBot terkait dengan grup yang dikenal sebagai Silence yang diyakini saling berbagi dengan aktor kejahatan siber terkenal Rusia yang dikenal sebagai Evil Corp.

Rantai serangan yang didokumentasikan oleh VMware, di sisi lain, dimulai dengan drive-by-download dari file yang dapat dieksekusi bernama "update.exe" dari Google Chrome, menunjukkan bahwa pengguna terpikat untuk mengunduh malware dengan dalih pembaruan perangkat lunak .

Setelah dijalankan, update.exe membuat koneksi dengan alamat IP TrueBot yang diketahui terletak di Rusia untuk mengambil executable tahap kedua ("3ujwy2rz7v.exe") yang kemudian diluncurkan menggunakan Windows Command Prompt.

Yang dapat dieksekusi, pada bagiannya, terhubung ke domain command-and- control (C2) dan mengekstraksi informasi sensitif dari host. Itu juga mampu menghitung proses dan sistem.

"TrueBot bisa menjadi infeksi yang sangat buruk untuk jaringan apa pun," kata Carlisle. "Ketika suatu organisasi terinfeksi malware ini, itu dapat dengan cepat meningkat menjadi infeksi yang lebih besar, mirip dengan bagaimana ransomware menyebar ke seluruh jaringan."

Temuan itu muncul ketika SonicWall merinci varian baru dari malware pengunduh lain yang dikenal sebagai GuLoader (alias CloudEyE) yang digunakan untuk mengirimkan berbagai malware seperti Agen Tesla, Azorult, dan Remcos.

"Dalam varian terbaru GuLoader, ini memperkenalkan cara baru untuk meningkatkan pengecualian yang menghambat proses analisis lengkap dan pelaksanaannya di lingkungan yang terkendali," kata SonicWall.[]