GandCrab ransomware dan virus Ursnif menyebar melalui macro MS Word

Peneliti keamanan telah menemukan dua kampanye malware terpisah, salah satunya adalah mendistribusikan trojan mencuri data Ursnif dan ransomware GandCrab, sedangkan yang kedua hanya menginfeksi korban dengan malware Ursnif.

Meskipun kedua kampanye malware ini tampaknya merupakan hasil kerja dari dua kelompok penjahat cyber yang terpisah, kami menemukan banyak kesamaan di dalamnya. Kedua serangan dimulai dari email phishing yang berisi dokumen Microsoft Word yang dilekatkan yang tertanam dengan makco jahat dan kemudian menggunakan Powershell untuk mengirimkan malware tanpa fileless.

Ursnif adalah malware pencuri data yang biasanya mencuri informasi sensitif dari komputer yang dikompromikan dengan kemampuan untuk memanen kredensial perbankan, kegiatan menjelajah, mengumpulkan penekanan tombol, informasi sistem dan proses, dan menggunakan backdoors tambahan.

Ditemukan awal tahun lalu, GandCrab adalah ancaman ransomware luas yang, seperti setiap ransomware lain di pasar, mengenkripsi file pada sistem yang terinfeksi dan mendesak korban untuk membayar uang tebusan dalam mata uang digital untuk membukanya. Pengembangnya meminta pembayaran terutama dalam DASH, yang lebih rumit untuk dilacak.

MS Docs + VBS Macro = Infeksi Ursnif dan GandCrab


Kampanye malware pertama yang mendistribusikan dua ancaman malware ditemukan oleh peneliti keamanan di Carbon Black yang menemukan sekitar 180 varian dokumen MS Word yang menargetkan pengguna dengan macro VBS berbahaya.

Jika berhasil dieksekusi, makro VBS berbahaya menjalankan skrip PowerShell, yang kemudian menggunakan serangkaian teknik untuk mengunduh dan mengeksekusi Ursnif dan GandCrab pada sistem yang ditargetkan.

Skrip PowerShell dikodekan dalam base64 yang mengeksekusi tahap infeksi berikutnya yang bertanggung jawab untuk mengunduh muatan malware utama untuk membahayakan sistem.

Payload pertama adalah PowerShell one-liner yang mengevaluasi arsitektur sistem yang ditargetkan dan kemudian mengunduh muatan tambahan dari situs web Pastebin, yang dieksekusi dalam memori, sehingga menyulitkan teknik anti-virus tradisional untuk mendeteksi aktivitasnya.

"Skrip PowerShell ini adalah versi modul Empire Invoke-PSInject, dengan sedikit modifikasi," kata peneliti Carbon Black. "Script akan mengambil file PE [Portable Executable] tertanam yang telah diencode dengan base64 dan menyuntikkannya ke dalam proses PowerShell saat ini.

Payload terakhir kemudian menginstal varian ransomware GandCrab pada sistem korban, mengunci mereka dari sistem mereka sampai mereka membayar uang tebusan dalam mata uang digital.

Sementara itu, malware juga mengunduh Ursnif yang dapat dieksekusi dari server jarak jauh dan setelah dieksekusi, ia akan mengambil sidik jari sistem, memonitor lalu lintas peramban web untuk mengumpulkan data, dan kemudian mengirimkannya ke server perintah dan kontrol penyerang (C&C).

"Namun, banyak varian Ursnif di-host di situs com bevendbrec [.] Selama kampanye ini. Carbon Black dapat menemukan sekitar 120 varian Ursnif berbeda yang di-host dari domain iscondisth [.] Com dan bevendbrec [.] Com," kata para peneliti.

MS Docs + VBS macro = Ursnif Malware Pencuri Data


Begitu pula dengan kampanye malware kedua itu ditemukan oleh peneliti keamanan di Cisco Talos memanfaatkan dokumen Microsoft Word yang berisi makro VBA berbahaya untuk menghadirkan varian malware Ursnif yang sama.


Serangan malware ini juga mengkompromikan sistem yang ditargetkan dalam beberapa tahap, mulai dari email phishing hingga menjalankan perintah PowerShell yang berbahaya untuk mendapatkan kegigihan tanpa fileless dan kemudian mengunduh dan menginstal virus komputer pencuri data Ursnif.

"Ada tiga bagian dari perintah [PowerShell]. Bagian pertama menciptakan fungsi yang kemudian digunakan untuk mendekode base64 yang diencode PowerShell. Bagian kedua membuat array byte yang berisi DLL berbahaya," jelas peneliti Talos.

"Bagian ketiga mengeksekusi fungsi decode base64 yang dibuat di bagian pertama, dengan string yang diencode base64 sebagai parameter ke fungsi. PowerShell yang didekode kembali kemudian dieksekusi oleh fungsi stoke Invoke-Expression (iex)."

Setelah dieksekusi di komputer korban, malware mengumpulkan informasi dari sistem, memasukkan ke dalam format file CAB, dan kemudian mengirimkannya ke server perintah-dan-kontrol melalui koneksi aman HTTPS.

Peneliti Talos telah menerbitkan daftar indicators of compromise (IOCs), bersama dengan nama-nama nama file payload yang dijatuhkan pada mesin yang dikompromikan, pada posting blog mereka yang dapat membantu Anda mendeteksi dan menghentikan malware Ursnif sebelum menginfeksi jaringan Anda.

Nemo enim ipsam voluptatem quia voluptas sit aspernatur aut odit aut fugit, sed quia consequuntur magni dolores eos qui ratione voluptatem sequi nesciunt.

You Might Also Like:

Kebijakan Komentar : Silahkan berkomentar sesuai dengan topik. Komentar yang berisi spam akan dihapus.

Beri Komentar Tutup comment

Disqus Comments