Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Personal
  • Casbaneiro Trojan Perbankan Banyak Lagak
  • Sektor Personal

Casbaneiro Trojan Perbankan Banyak Lagak

3 min read

Credit image: Pixabay

Casbaneiro, juga dikenal sebagai Metamorfo, adalah trojan perbankan yang menargetkan layanan bank dan cryptocurrency. Ia menggunakan metode social engineering, di mana jendela pop-up palsu ditampilkan. Munculan ini mencoba membujuk calon korban untuk memasukkan informasi sensitif yang jika berhasil informasi itu kemudian dicuri.

Kemampuan backdoor dari malware ini dapat mengambil tangkapan layar dan mengirimkannya ke server C&C, mensimulasikan ketukan pada mouse dan keyboard dan menangkap penekanan tombol, mengunduh dan menginstal pembaruan untuk dirinya sendiri, membatasi akses ke berbagai situs web, dan mengunduh serta mengeksekusi executable lainnya.

Casbaneiro mengumpulkan informasi berikut tentang korbannya:

  1. Daftar produk antivirus yang diinstal
  2. Versi OS
  3. Nama pengguna
  4. Nama komputer
  5. Jika ada dari perangkat lunak berikut yang diinstal:
  • Diebold Warsaw GAS Tecnologia (aplikasi untuk melindungi akses ke perbankan online)
  • Trusteer
  • Beberapa aplikasi perbankan

Meskipun tampaknya ada setidaknya empat varian malware yang berbeda, inti dari semuanya hampir identik dengan kode dalam repositori GitHub. Namun, secara praktis tidak mungkin untuk memisahkan mereka satu sama lain.

Terutama karena beberapa varian menggunakan versi berbeda menggunakan kunci dekripsi string yang sama, dan mekanisme yang sama digunakan dalam varian yang berbeda. Selain itu, perbedaannya tidak penting dari sudut pandang fungsionalitas. Karena itu, ESET akan merujuk ke semua varian ini sebagai Casbaneiro.

Penyebaran Casbaneiro

ESET menyakini penyebaran malware perbankan ini melalui email yang disisipi lampiran berbahaya di awal rantau distribusi Casbaneiro.

Operasi siber mereka sebelumnya jika diperhatikan, mereka menggunakan skrip PowerShell, mirip seperti yang digunakan oleh malware perbankan lainnya, Amavaldo.

Meskipun beberapa bagian berbeda, kedua skrip jelas berasal dari sumber yang sama dan menggunakan metode pengaburan data yang sama.

ESET dalam risetnya melihat bahwa operasi siber mereka terbaru menggunaan teknik serupa dengan hanya beberapa perubahan.

Executable Avast tidak lagi disalahgunakan dan payload utamanya, jesus.dmp tidak lagi dienkripsi. Folder instalasi telah diubah menjadi %APPDATA%\Sun\Javar\%RANDOM%\. Karena operasi siber Casbaneiro terbaru ini menggunakan penyingkat URL bit.ly,

Trik social engineering

Dalam operasi ini, korban dibujuk untuk mengunduh dan menginstal apa yang tampaknya merupakan update perangkat lunak keuangan yang legitimate, padahal itu sebuah penginstal:

  • Casbaneiro menyamar sebagai Spotify.exe
  • DLL lain yang sah
  • Payload menyamar sebagai OneDrive
  • Menyamar sebagai WhatsApp.
  • Kasus lain Casbaneiro menyamar sebagai penginstal dibundel bersama dengan alat cracking Re-Loader yang memungkinkan aktivasi Windows atau Microsoft Office secara tidak resmi. Ketika dieksekusi, Casbaneiro diam-diam diunduh dan dieksekusi terlebih dahulu, diikuti oleh Re-Loader.

Sembunyikan Server C&C

Operator berusaha keras untuk menyembunyikan domain dan port server C&C yang sebenarnya, dan ini adalah salah satu fitur Casbaneiro yang paling menarik.

  1. Enkripsi jelas merupakan metode paling sederhana untuk menyembunyikan server C&C. Domain dienkripsi dengan kunci hardcoded dengan port juga hardcoded. ESET telah menemukan kasus ini, di mana port telah disimpan di bagian data, dalam data formulir Delphi, atau dipilih secara acak dari suatu rentang.
  2. Metode yang lebih canggih adalah menyimpan data di suatu tempat online, dalam hal ini di Google Documents. Casbaneiro menggunakan metode ini, di mana dokumen tersebut penuh dengan teks sampah.
  3. Tertanam dalam situs web yang dibuat. Dalam pendekatan ini, operator membuat situs web palsu, meniru situs yang sah. Domain C&C asli disembunyikan di dalam metadata halaman web. ESET telah menemukan setidaknya tiga situs web yang identik dengan URL yang berbeda.
  4. Tertanam dalam situs web yang legitimate. Casbaneiro menyalahgunakan YouTube untuk menyimpan domain server C&C-nya. ESET telah mengidentifikasi dua akun berbeda yang digunakan pelaku, satu akun fokus pada resep memasak dan yang lainnya tentang sepak bola. Jadi di mana server C&C disembunyikan? Setiap video di saluran ini berisi deskripsi. Di akhir deskripsi ini, ada tautan ke URL Facebook atau Instagram palsu.Domain server C&C disimpan di tautan ini, menggunakan skema enkripsi yang sama seperti pada kasus sebelumnya, kunci disimpan di awal data terenkripsi. Port, sekali lagi, dikodekan dalam biner.
  5. Menggunakan entri DNS palsu. Gagasan umum dari metode ini adalah mendaftarkan domain dan mengasosiasikannya dengan alamat IP palsu sehingga alamat IP asli dapat diturunkan darinya.

Bisa dikatakan trojan perbankan ini paling banyak lagaknya dalam berbagai metode yang digunakan, mulai dari distribusi, trik penyebaran sampai menyembunyikan server C&C-nya.

Meski demikian ini merupakan indikasi bahwa pengembang malware tidak sembarangan dalam mempersiapkan malware. Ke depan bisa jadi pengembang akan membuat malware ini lebih canggih dan berbahaya.

Tags: amavaldo Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare Casbaneiro ESET Metamorfo Prosperita Trojan Perbankan

Continue Reading

Previous: Melindungi Diri dari Aplikasi Berbahaya
Next: Risiko Berbagi di Media Sosial

Related Stories

Waspada SIM Swapping Lindungi Akun Digital dari Peretas Waspada SIM Swapping Lindungi Akun Digital dari Peretas
5 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Waspada SIM Swapping Lindungi Akun Digital dari Peretas

June 5, 2025
Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025

Recent Posts

  • Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis
  • Waspada SIM Swapping Lindungi Akun Digital dari Peretas
  • Manipulasi Psikologis di Balik Serangan Social Engineering Anak
  • Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
  • SIM Card Dari Fisik ke Digital dan Risiko di Baliknya
  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis Mengapa Produk "Kedaluwarsa" (End-of-Life)Sangat Berbahaya bagi Bisnis
3 min read
  • Teknologi

Mengapa Produk “Kedaluwarsa” (End-of-Life)Sangat Berbahaya bagi Bisnis

June 5, 2025
Waspada SIM Swapping Lindungi Akun Digital dari Peretas Waspada SIM Swapping Lindungi Akun Digital dari Peretas
5 min read
  • Mobile Security
  • Sektor Personal
  • Teknologi

Waspada SIM Swapping Lindungi Akun Digital dari Peretas

June 5, 2025
Manipulasi Psikologis di Balik Serangan Social Engineering Anak Manipulasi Psikologis di Balik Serangan Social Engineering Anak
5 min read
  • Sektor Personal
  • Teknologi

Manipulasi Psikologis di Balik Serangan Social Engineering Anak

June 4, 2025
Hati-hati Eksekutif Keuangan Phising Canggih Menguntit Hati-hati Eksekutif Keuangan Phising Canggih Menguntit
5 min read
  • Teknologi

Hati-hati Eksekutif Keuangan Phising Canggih Menguntit

June 3, 2025

Copyright © All rights reserved. | DarkNews by AF themes.