Cyberthreat.id - Pelaku ancaman menjual crypter dan loader baru yang disebut ASMCrypt, yang digambarkan sebagai "versi evolusi" dari malware loader lain yang dikenal sebagai DoubleFinger.

“Ide di balik malware jenis ini adalah memuat muatan akhir tanpa proses pemuatan atau muatan itu sendiri terdeteksi oleh AV/EDR, dll.,” kata Kaspersky dalam analisis yang diterbitkan minggu ini sebagaimana dikutip The Hacker News.

Disebutkan, DoubleFinger pertama kali didokumentasikan oleh perusahaan keamanan siber Rusia, yang merinci rantai infeksi yang memanfaatkan malware tersebut untuk menyebarkan pencuri mata uang kripto yang dijuluki GreetingGhoul kepada para korban di Eropa, AS, dan Amerika Latin.

ASMCrypt, setelah dibeli dan diluncurkan oleh pelanggan, dirancang untuk menjalin kontak dengan layanan backend melalui jaringan TOR menggunakan kredensial hard-coded, sehingga memungkinkan pembeli membuat muatan pilihan mereka untuk digunakan dalam kampanye mereka.

“Aplikasi ini membuat gumpalan terenkripsi yang tersembunyi di dalam file .PNG,” kata Kaspersky. "Gambar ini harus diunggah ke situs hosting gambar."

Loader menjadi semakin populer karena kemampuannya bertindak sebagai layanan pengiriman malware yang dapat dimanfaatkan oleh beberapa pelaku ancaman.

Tujuannya agar mendapatkan akses awal ke jaringan untuk melakukan serangan ransomware, pencurian data, dan aktivitas cyber berbahaya lainnya.

Ini termasuk pemain baru dan lama, seperti Bumblebee, CustomerLoader, dan GuLoader, yang telah digunakan untuk mengirimkan berbagai perangkat lunak berbahaya.

Menariknya, semua payload yang diunduh oleh CustomerLoader adalah artefak dotRunpeX, yang kemudian menyebarkan malware tahap akhir.

“CustomerLoader kemungkinan besar dikaitkan dengan Loader-as-a-Service dan digunakan oleh berbagai pelaku ancaman,” kata Sekoia.io kepada The Hacker News.

"Ada kemungkinan bahwa CustomerLoader adalah tahap baru yang ditambahkan sebelum eksekusi injektor dotRunpeX oleh pengembangnya."

Bumblebee, di sisi lain, muncul kembali setelah jeda dua bulan menjelang akhir Agustus 2023 dalam kampanye distribusi baru yang menggunakan server Web Distributed Authoring and Versioning (WebDAV) untuk menyebarkan loader, sebuah taktik yang sebelumnya diadopsi dalam serangan IcedID.

“Dalam upaya ini, pelaku ancaman memanfaatkan email spam berbahaya untuk mendistribusikan file pintasan Windows (.LNK) dan arsip terkompresi (.ZIP) yang berisi file .LNK,” kata Intel 471.

“Saat diaktifkan oleh pengguna, file LNK ini menjalankan serangkaian perintah yang telah ditentukan sebelumnya yang dirancang untuk mengunduh malware Bumblebee yang dihosting di server WebDAV.”

Loader adalah varian yang diperbarui yang telah beralih dari penggunaan protokol WebSocket ke TCP untuk komunikasi server perintah-dan-kontrol (C2) serta dari daftar server C2 yang dikodekan secara keras ke algoritma pembuatan domain (DGA) yang bertujuan untuk membuatnya tangguh dalam menghadapi penghapusan domain.

Menurut The Hacker News, semua teknik itu menunjukkan semakin matangnya perekonomian kejahatan dunia maya, pelaku ancaman yang sebelumnya dianggap berbeda telah bermitra dengan kelompok lain, sebagaimana dibuktikan dalam kasus "aliansi gelap" antara GuLoader dan Remcos RAT.

Meskipun seolah-olah diiklankan sebagai perangkat lunak yang sah, tulis The Hacker News, namun analisis terbaru dari Check Point mengungkap penggunaan GuLoader untuk mendistribusikan RAT Remcos secara dominan, meskipun GuLoader kini dijual sebagai crypter dengan nama baru bernama TheProtect yang membuat muatannya sepenuhnya tidak terdeteksi oleh perangkat lunak keamanan.

“Seseorang yang beroperasi dengan nama samaran EMINэM mengelola situs web BreakingSecurity dan VgoStore yang secara terbuka menjual Remcos dan GuLoader,” kata perusahaan keamanan siber tersebut.

“Orang-orang di balik layanan ini sangat terkait dengan komunitas penjahat dunia maya, memanfaatkan platform mereka untuk memfasilitasi aktivitas ilegal dan mendapatkan keuntungan dari penjualan alat yang mengandung malware.”

Perkembangan ini terjadi ketika versi baru dari malware pencuri informasi yang disebut sebagai Lumma Stealer telah ditemukan di alam liar, dengan malware tersebut didistribusikan melalui situs web palsu yang meniru situs .DOCX ke .PDF yang sah.

Jadi, ketika file diunggah, situs web mengembalikan biner berbahaya yang menyamar sebagai PDF dengan ekstensi ganda ".pdf.exe" yang, setelah dieksekusi, mengambil informasi sensitif dari host yang terinfeksi.

Perlu dicatat bahwa Lumma Stealer adalah cabang terbaru dari malware pencuri terkenal bernama Arkei, yang telah berevolusi menjadi Vidar, Oski, dan Mars selama beberapa tahun terakhir.

“Malware terus berkembang, seperti yang diilustrasikan oleh Lumma Stealer, yang memiliki banyak variasi dengan beragam fungsi,” kata Kaspersky.[]