Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Dridex Kolaborasi dengan AtomBombing
  • Teknologi

Dridex Kolaborasi dengan AtomBombing

4 min read

Credit image: Pixabay

Sebuah kabar buruk datang dari dunia malware, hasil dari penelitian terbaru telah ditemukan malware Dridex versi 4.0, trojan perbankan paling berbahaya dan sangat aktif.

Dridex sering disebut juga sebagai Bugat dan Cridex, bisa dikatakan mewakili perkembangan atau evolusi dari banking trojan pendahulunya yaitu Zeus beserta variannya yang lain. Trojan ini dikirimkan melalui lampiran yang terdapat pada email, memanfaatkan macro yang terdapat pada dokumen Word untuk menyalurkan Trojan ini.

Pada dasarnya virus komputer seperti malware punya kesamaan seperti software normal yang sering melalui siklus pengembangan yang sama dan menerima update konstan.

Sementara kebanyakan operator malware berusaha menyembunyikan detil operasional dan source code semaksimal mungkin. Dridex malah menanamkan nomor versi malware dalam source code, sehingga memudahkan peneliti untuk mengamati evolusinya.

Nomor versi ini termasuk dalam binary Dridex dan file-file konfigurasi, memungkinkan peneliti untuk membuat timeline versi Dridex utama. Sebagai contoh, berdasarkan nomor versi, Dridex v1 diluncurkan pada akhir tahun 2014 dan hanya bertahan di hari-hari pertama 2015.

Sedangkan Dridex v2 hanya mampu bertahan dalam waktu yang singkat seperti halnya v1, dan hanya bertahan sampai April 2015, ketika ia digantikan oleh Dridex v3. Versi v3 adalah versi yang jauh lebih stabil, di mana pengembang malware Dridex melakukan update bertahap selama dua tahun terakhir.

Wajah Baru Muka Lama

Meskipun mendapat update dalam jumlah besar, secara keseluruhan operasi Dridex masih tetap sama, masih bergantung pada hVNC atau Hidden VNC – Virtual Network Computing untuk membangun koneksi tersembunyi untuk host, yang mereka gunakan untuk mengontrol komputer terinfeksi melalui virtual desktop tak kasat mata.

Pengembang malware Dridex v4 sepertinya memang sengaja mempertahankan sebagian besar teknologi yang sama dari versi v3, mengandalkan serangan pengalihan untuk mencegat traffic pengguna, dan mengarahkan pengguna ke kloningan dari portal perbankan asli menggunakan server proxy yang diinstal secara lokal.

hVNC akan ikut berpartisipasi nantinya, tapi hanya jika pelaku tersandung pada korban dengan data berharga dan membutuhkan RAT, seperti akses untuk host terinfeksi.

Dalam versi Dridex lawas, pelaku mengandalkan berbagai aplikasi Windows API untuk memuat kode jahat mereka ke dalam memori pengguna dan kemudian ke dalam proses browser pengguna.

Produk keamanan seperti ESET misalnya tahu bahwa dengan mengawasi beberapa panggilan Windows API, yang sering digunakan oleh banyak keluarga malware, dengan begitu bisa mendeteksi berbagai perilaku berbahaya dan menghentikan atau membatasinya.

Dridex dan AtomBombing

Atombombing adalah cara baru untuk memanfaatkan mekanisme yang mendasari sistem operasi Windows untuk menyuntikkan kode berbahaya. Ini dapat terjadi bukan karena kode yang rusak atau cacat tapi lebih bagaimana sistem operasi dirancang, dan bahayanya Teknik yang dijuluki AtomBombing ini mempengaruhi semua jenis Windows.

Tabel Atom sangat spesifik untuk OS Windows dan memungkinkan aplikasi untuk menyimpan nama string dan value terkait. Tabel Atom bekerja sebagai cache untuk string dan entri yang umum digunakan yang dapat diakses oleh semua aplikasi, bukan hanya orang-orang yang menciptakan data.

Dari sini diketahui penjahat siber bisa menyimpan kode berbahaya dalam tabel atom tersebut dan kemudian memanggil mereka tanpa menggunakan Windows API calls ol yang sama. Dridex v4 mulai menggunakan teknik penyerangan terbaru ini pada akhir Oktober 2016.

Serangan AtomBombing Versi Dridex

Ketika AtomBombing dipublikasikan oleh enSilo pada tahun lalu, mereka mengatakan mengungkapkan vektor serangan ini karena Microsoft tidak bisa mengatasi masalah seperti ini, karena secara tersirat sangat tidak praktis menulis ulang sebagian besar dari seluruh sistem operasi Windows.

Peneliti enSilo ingin vendor antivirus untuk mencatat bagaimana serangan itu bekerja dan menyebarkan solusi deteksi dan mitigasi terhadap AtomBombing. Alasan yang disampaikan enSilo ini ternyata juga mendapat perhatian dari pengembang Dridex, sehingga mereka membuat sebagian kode mereka sendiri.

Oleh karena itu, teknik ini masih menggunakan tabel atom untuk memuat kode berbahaya ke dalam RWX (Read-Write-eXecute) dari memori komputer korban, tetapi karena tidak menggunakan API yang sama dan fungsi panggilan, Dridex mampu bypass mekanisme deteksi AtomBombing yang dibangun atas temuan enSilo.

Update Berbahaya

Selain AtomBombing, dari update terbaru yang terungkap, yang mungkin merupakan update kedua yang sangat penting untuk konfigurasi file terenkripsi. Pada semua host yang terinfeksi, trojan Dridex menciptakan sebuah file konfigurasi yang diisi dengan data dari servernya Command & Control.

File ini sangat penting bagi para peneliti keamanan karena memegang nomor versi kedua malware, tetapi juga portal perbankan dan situs online tempat di mana mereka mengumpulkan semua kredensial pengguna melalui halaman phishing.

Karena begitu pentingnya file ini sampai membuat pengembang Dridex mengenkripsi file tersebut. Yang perlu juga mendapat perhatian adalah bahwa Dridex v4 menggunakan skema enkripsi berbeda, walau masih mengandalkan cipher RC4 yang digunakan dalam versi sebelumnya, tetapi rutinitas enkripsi yang digunakan berbeda.

Perubahan dalam rutinitas enkripsi ini tidak spesifik untuk sebagian besar versi Dridex, sebagaimana perubahan enkripsi reguler dalam versi minor untuk mempersulit peneliti keamanan dan lembaga keuangan yang menjadi target sebisa mungkin.

Namun demikian, target enkripsi Dridex v4 sudah dapat diantisipasi sedini mungkin, pengembang malware dridex saat ini hanya menargetkan bank di Inggris tetapi v4 sedang disiapkan untuk disebar ke berbagai negara lain, untuk mendapatkan sasaran lebih luas dan korban lebih banyak. Dengan temuan ini, semua solusi keamanan dunia dapat mengimplementasikan sistem untuk melacak dan mencegah serangan Dridex v4.

Sumber berita:

https://www.bleepingcomputer.com

Tags: anti virus super ringan AtomBombing ESET deteksi Ransomware Super Ringan

Continue Reading

Previous: Trojan Perbankan Menyamar sebagai Aplikasi Cuaca di Google Play Store
Next: DNS Messenger RAT dengan PowerShell

Related Stories

Tanda-tanda Router Diretas dan Cara Melindunginya Tanda-tanda Router Diretas dan Cara Melindunginya
6 min read
  • Sektor Personal
  • Teknologi

Tanda-tanda Router Diretas dan Cara Melindunginya

September 16, 2025
Memahami dan Mengelola Shadow IT di Era Digital Memahami dan Mengelola Shadow IT di Era Digital
5 min read
  • Sektor Bisnis
  • Teknologi

Memahami dan Mengelola Shadow IT di Era Digital

September 15, 2025
Mengenal Security as a Service (SECaaS) Mengenal Security as a Service (SECaaS)
3 min read
  • Sektor Bisnis
  • Teknologi

Mengenal Security as a Service (SECaaS)

September 15, 2025

Recent Posts

  • Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
  • Cara Menjaga Mental Anak dari Ancaman Dunia Maya
  • Tiga Elemen Penting Menghadapi Ancaman Siber
  • Tanda-tanda Router Diretas dan Cara Melindunginya
  • Yakin Email dari Bos Anda Asli Begini Cara Memastikannya
  • Memahami dan Mengelola Shadow IT di Era Digital
  • Mengenal Security as a Service (SECaaS)
  • Mengapa Kata Sandi Jadi Sasaran Empuk Peretas
  • Mengamankan Server Bisnis Anda
  • Lebih dari Sekadar Hiburan Gaming Bantu Perkembangan Anak

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Browser Adalah Titik Serangan Baru Sudahkah Anda Siap? Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?
3 min read
  • Sektor Bisnis
  • Sektor Personal

Browser Adalah Titik Serangan Baru Sudahkah Anda Siap?

September 17, 2025
Cara Menjaga Mental Anak dari Ancaman Dunia Maya Cara Menjaga Mental Anak dari Ancaman Dunia Maya - Terlepas dari sisi positifnya, dunia digital sering kali meniru perilaku buruk yang kita lihat di dunia nyata. Hal ini kadang bahkan memperburuknya.
4 min read
  • Edukasi
  • Sektor Personal

Cara Menjaga Mental Anak dari Ancaman Dunia Maya

September 17, 2025
Tiga Elemen Penting Menghadapi Ancaman Siber Tiga Elemen Penting Menghadapi Ancaman Siber
4 min read
  • Sektor Bisnis

Tiga Elemen Penting Menghadapi Ancaman Siber

September 16, 2025
Tanda-tanda Router Diretas dan Cara Melindunginya Tanda-tanda Router Diretas dan Cara Melindunginya
6 min read
  • Sektor Personal
  • Teknologi

Tanda-tanda Router Diretas dan Cara Melindunginya

September 16, 2025

Copyright © All rights reserved. | DarkNews by AF themes.