Sebuah spambot beroperasi mengarahkan pengguna pada survei promosi smartphone palsu, spambot ini menarik karena dapat mencuri kata sandi, memata-matai layar korbannya menggunakan ffmpeg ketika mereka menonton konten seksual online.
Operasi ini tidak luput dari telemetri ESET yang mengalami lonjakan besar pada Mei 2019. Malware tersebut masih dalam pengembangan yang intens dan sepanjang pengematan ESET hingga sekarang, malware telah mengalami banyak perubahan dan mungkin akan terus berlanjut, apalagi malware terus melakukan komunikasi ke server C&C melalui TOR, sementara spam yang dikirim sebagai lalu lintas internet biasa.
Penyebaran malware
ESET memberi nama malware ini Varenky, sejauh pengamatan ESET sejaka awal kemunculannya di bulan Mei, operator malware mendistribusikannya dengan phising melalui email. Satu bulan kemudian, pada Juni 2019, ESET melihat dokumen berbahaya pertama yang memulai infeksi ke komputer korban, yang dilampirkan pada pesan email.
Dokumen tersebut merupakan tagihan dalam file Microsoft Word, dan ketika korban membuka dokumen tersebut, muncul pemberitahuan bahwa dokumen dilindungi oleh Microsoft Word dan memerlukan verifikasi manusia atau “requires human verification”.
Isi dari dokumen juga menjelaskan cara mengaktifkan “human verification” yang pada kenyataannya adalah cara mengaktifkan macro. Padahal untuk tujuan keamanan, Word macro tidak diaktifkan secara default dan membutuhkan interaksi pengguna untuk mengeksekusi.
Secara keseluruhan, isi teks email, nama file dokumen dan kata “dilindungi” pada isi dokumen untuk menekankan penerima bahwa mereka berhadapan dengan tagihan nyata dan bahwa mereka harus membukanya. Dokumen tersebut terlihat sangat menyakinkan, yang tujuannya untuk mempengaruhi psikologis pengguna agar mengikuti kemauan pengirimnya.
Tentang Varenky
Versi awal dari malware bisa menerima perintah untuk mengunduh file dan mengeksekusinya. malware mampu menangani file executable, file batch dan skrip PowerShell. Dukungan untuk yang terakhir kemudian dihapus. malware juga bisa diperintahkan untuk memperbarui sendiri dengan eksekusi yang harus diunduh dari URL tertentu. Ada perintah lain juga yang akan menghapus malware dari komputer, meskipun lupa untuk menghapus perubahan yang dibuat ke registri.
Perintah baru kemudian ditambahkan, yang memungkinkan malware untuk menyebarkan tool NirSoft WebBrowserPassView dan Mail PassView. Ini adalah alat pemulihan kata sandi untuk browser web dan klien email password. Mereka secara rutin disalahgunakan oleh malware namun terdeteksi oleh ESET sebagai Potentially Unsafe Application (PUA). Kedua LZNT1-kompresi file executable tertanam di dalam malware. Mereka diekstrak, disuntikkan ke executable lain dan dijalankan sekali untuk mencuri kata sandi korban, yang kemudian dikirim ke server C&C mereka.
Perintah yang paling baru ditambahkan akan membuat desktop tersembunyi pada komputer korban. Malware dapat diarahkan untuk memulai berbagai aplikasi yang memiliki antarmuka grafis, seperti web browser dan dialog Windows Run. Ia memiliki kemampuan untuk menyelesaikan berbagai tugas, seperti navigasi menu, membaca teks, mengambil screenshot, klik pada layar, dan juga meminimalkan, memulihkan dan memaksimalkan jendela.
Sebuah fitur yang ditampilkan dan dimodifikasi dalam versi berikutnya akhirnya dihapus adalah fungsi yang membuat malware memindai jendela yang terbuka pada komputer. Jika malware menemukan kata yang berhubungan dengan porno atau kata Perancis untuk “BitCoin” dalam judul jendela, itu akan dikirim ke server C&C nya.
Fitur ini kemudian diubah sehingga ketika menemui kata “seks”, malware akan merekam layar komputer menggunakan FFmpeg executable yang telah diunduh sebelumnya melalui jaringan Tor. Video ini diupload ke server C&C setelah itu direkam, video ini bisa digunakan untuk pemerasan seksual yang biasa disebut sebagai praktek sextortion. Tapi masih belum diketahui apakah video tersebut direkam karena rasa ingin tahu dari pengembang spambot atau ditujukan sebagai bagian mencari keuntungan secara finansial mereka melalui sextortion.
Versi berbeda dari malware ini menggunakan string yang berbeda untuk mengidentifikasi dirinya ke server C&C. Salah satunya adalah “Bataysk”, yang merupakan kota Rusia dikenal memiliki “monumen yang menunjukkan tangan manusia mencengkeram payudara perempuan.” sampel lain diidentifikasi dengan “ph”, yang mungkin singkatan inisial dari situs pornografi populer. Dan versi lain diidentifikasi dengan string “Gamiani_MON” Gamiani adalah sebuah novel erotis Perancis dan “MON” mungkin berarti “pemantauan”.
ESET juga mengindentifikasi bahwa pesan yang dikirim melalui spambot dalam bentuk sederhana seperti “If this message doesn’t show up correctly, click here” atau “Please follow the link: <URL>” Ada juga email dengan lampiran. Link mengarah ke survei tipuan, di mana korban selalu menang promosi untuk smartphone terbaru. bot hanya menargetkan pelanggan dari Perancis ISP Orange.
Tautan membawa korban ke sebuah situs di mana mereka tampaknya memiliki kesempatan untuk memenangkan hadiah seperti iPhone 10, Galaxy S9 atau S10 + untuk €2 atau kurang. Mereka hanya perlu memasukkan informasi pribadi mereka; Nama, alamat, kota, email dan nomor telepon untuk menang. Alamat email yang dimasukkan mungkin tidak bekerja, tapi jika berhasil, korban akan diminta untuk memasukkan informasi kartu kredit mereka termasuk nomor validasi.
Semua alamat email yang terlihat menjadi sasaran berada di wanadoo.fr domain dan orange.fr. Sebuah bot tunggal dapat mengirim sebanyak 1.500 email dalam satu jam.
Poin penting
- Spambot tidak canggih, tetapi konteks dan cerita yang dibangun di seputarnya menarik dan persuasif. Kita bisa berasumsi dari fakta yang ada bahwa mereka menargetkan Perancis berarti bahwa operator memahami, membaca atau berbicara bahasa Perancis.
- Dokumen Word menunjukkan kepada kita kurangnya perhatian operator atau pengembang malware. Dalam makro, operator lupa untuk mengubah nilai test_debug yang berarti bahwa malware akan diunduh apa pun bahasa ID nya.
- Ada banyak fungsi yang berkaitan dengan pemerasan atau sextortion pada orang-orang yang menonton konten pornografi. Namun, sepertinya operator tidak memanfaatkan ini.
- Fungsi ditambahkan dan kemudian dengan cepat dihapus, serta versi yang berbeda dalam waktu singkat (dua bulan), menunjukkan bahwa operator secara aktif bekerja pada botnet mereka dan cenderung untuk bereksperimen dengan fitur baru yang bisa membawa keuntungan yang lebih baik bagi mereka.
- ESET merekomendasikan bahwa pengguna harus berhati-hati ketika membuka lampiran dari sumber yang tidak diketahui. sistem serta perangkat lunak keamanan tetap harus terus up to date demi perlindungan yang lebih baik.
Sumber berita:
