Ulah penjahat siber terbaru kali ini dengan tipuan DocuSign malware perbankan. Triknya boleh beda namun ujungnya selalu sama, memanfaatkan attachment pada email.
Itu mengapa pengguna harus berhati-hati agar tidak menjadi target trojan perbankan baru yang dikenal sebagai CHAVECLOAK yang disebarkan melalui email phising yang berisi lampiran PDF.
Serangan rumit ini melibatkan PDF mengunduh file ZIP dan kemudian memanfaatkan teknik side-loading DLL untuk mengeksekusi malware terakhir.
Umpan DocuSign
Tipuan DocuSign malware perbankan adalah rantai serangan yang melibatkan penggunaan umpan DocuSign bertema kontrak untuk mengelabui pengguna agar membuka file PDF yang berisi tombol untuk membaca dan menandatangani dokumen.
Kenyataannya, mengklik tombol tersebut akan mengarah pada pengambilan file penginstal dari tautan jarak jauh yang dipersingkat menggunakan layanan penyingkat URL Goo.su.
Hadir dalam penginstal adalah executable bernama “Lightshot.exe” yang memanfaatkan side-loading DLL untuk memuat “Lightshot.dll,” yang merupakan malware CHAVECLOAK yang memfasilitasi pencurian informasi sensitif.
Hal ini termasuk mengumpulkan metadata sistem dan menjalankan pemeriksaan untuk menentukan apakah mesin yang disusupi berlokasi dimana.
Jika demikian, secara berkala memantau jendela latar depan untuk membandingkannya dengan daftar string terkait bank yang telah ditentukan sebelumnya.
Jika cocok, koneksi dibuat dengan server command & control (C2) dan mulai mengumpulkan berbagai jenis informasi dan menyaringnya ke titik akhir yang berbeda di server tergantung pada lembaga keuangan.
Baca juga: Trojan Perbankan Emotet Beraksi Kembali |
Fasilitas Malware
Malware ini memfasilitasi berbagai tindakan untuk mencuri kredensial korban, seperti:
- Mengizinkan operator memblokir layar korban.
- Mencatat penekanan tombol.
- Menampilkan jendela pop-up yang menipu.
Malware secara aktif memantau akses korban ke portal keuangan tertentu, seperti bank dan pasar Bitcoin, mencakup platform perbankan tradisional dan uang kripto.
Munculnya Trojan perbankan CHAVECLOAK menggarisbawahi berkembangnya lanskap ancaman siber yang menargetkan sektor keuangan.
Temuan ini muncul di tengah operasi penipuan mobile banking yang sedang berlangsung terhadap Inggris, Spanyol, dan Italia yang melibatkan penggunaan taktik smishing dan vishing.
Yaitu SMS dan phising suara untuk menyebarkan malware Android bernama Copybara dengan tujuan melakukan transfer perbankan tidak sah ke sebuah bank. jaringan rekening bank yang dioperasikan oleh money bagal.
Baca juga: Trojan Perbankan Menyamar di Aplikasi Cuaca di Google Play Store |
Pelaku Ditangkap
Pelaku telah ditangkap menggunakan cara terstruktur dalam mengelola semua kampanye phising yang sedang berlangsung melalui panel web terpusat yang dikenal sebagai ‘Mr. Robot.
Dengan panel ini, pelaku dapat mengaktifkan dan mengelola beberapa operasi phising terhadap berbagai lembaga keuangan berdasarkan kebutuhan mereka.
Kerangka kerja C2 juga memungkinkan pelaku untuk mengatur serangan yang disesuaikan terhadap lembaga keuangan tertentu menggunakan perangkat phising.
Perangkat dirancang untuk meniru antarmuka pengguna dari entitas yang ditargetkan, sekaligus mengadopsi metode anti-deteksi melalui geofencing dan sidik jari perangkat untuk membatasi koneksi hanya dari perangkat seluler.
Kit phising yang berfungsi sebagai halaman login palsu bertanggung jawab untuk mencuri kredensial pelanggan perbankan ritel dan nomor telepon dan mengirimkan detailnya ke grup Telegram.
Baca juga: 3 Trojan Perbankan Manfaatkan EternalBlue |
JOKER RAT
Beberapa infrastruktur berbahaya yang digunakan untuk operasi ini dirancang untuk mengirimkan Copybara, yang dikelola menggunakan panel C2
Panel ini bernama JOKER RAT yang menampilkan semua perangkat yang terinfeksi dan distribusi geografisnya melalui peta langsung.
Hal ini juga memungkinkan pelaku untuk berinteraksi jarak jauh secara real-time dengan perangkat yang terinfeksi menggunakan modul VNC.
Selain menyuntikkan overlay palsu di atas aplikasi perbankan untuk menyedot kredensial, mencatat penekanan tombol dengan menyalahgunakan layanan aksesibilitas Android, dan menyadap pesan SMS.
Selain itu, JOKER RAT hadir dengan pembuat APK yang memungkinkan untuk menyesuaikan nama aplikasi jahat, nama paket, dan ikon.
Fitur lain yang tersedia di dalam panel adalah Pemberitahuan Push, yang mungkin digunakan untuk mengirim pemberitahuan push palsu ke perangkat yang terinfeksi.
Pemberitahuan terlihat seperti pemberitahuan bank untuk membujuk pengguna agar membuka aplikasi bank sedemikian rupa sehingga malware dapat mencuri kredensial.
Semakin canggihnya skema penipuan pada perangkat (ODF) dibuktikan lebih lanjut dengan terungkapnya kampanye TeaBot aka Anatsa.
Malware ini belum lama diketahui berhasil menyusup ke Google Play Store dengan kedok aplikasi pembaca PDF yang mampu memperdaya orang.
Aplikasi ini berfungsi sebagai dropper, memfasilitasi pengunduhan trojan perbankan keluarga TeaBot melalui beberapa tahap seperti:
- Sebelum mengunduh trojan perbankan, dropper melakukan teknik penghindaran tingkat lanjut.
- Melakukan penyamaran.
- Melakukan penghapusan file.
- Serta beberapa pemeriksaan tentang negara korban.
Demikian pembahasan kita kali ini mengenai tipuan DocuSign malware perbankan, semoga dapat bermanfaat dan memberikan wawasan baru dunia siber.
Sumber berita: