Dalam dunia kejahatan maya apa saja mungkin terjadi, seperti duplikasi serangan phising DarkGate dan Pikabot yang ketahuan meniru trik QakBot
Operasi phising yang mengirimkan malware seperti DarkGate dan PikaBot mengikuti taktik yang sama yang sebelumnya digunakan dalam serangan dengan memanfaatkan trojan QakBot yang sekarang sudah tidak berfungsi.
Baca juga: Serangan Phising Kredensial |
Duplikasi Serangan Phising DarkGate dan Pikabot
Duplikasi serangan ini termasuk rangkaian email yang dibajak sebagai infeksi awal, URL dengan pola unik yang membatasi akses pengguna, dan rantai infeksi yang hampir identik dengan apa yang telah kita lihat pada pengiriman QakBot.
Keluarga malware yang digunakan juga mengikuti apa yang kami harapkan akan digunakan oleh afiliasi QakBot.
QakBot, juga disebut QBot dan Pinkslipbot, ditutup sebagai bagian dari upaya penegakan hukum terkoordinasi dengan nama sandi Operasi Perburuan Bebek pada awal Agustus ini.
Penggunaan DarkGate dan PikaBot dalam kampanye ini tidak mengherankan karena keduanya dapat bertindak sebagai saluran untuk mengirimkan muatan tambahan ke host yang disusupi, sehingga keduanya merupakan pilihan yang menarik bagi penjahat dunia maya.
Persamaan PikaBot dengan QakBot sebelumnya disorot dalam analisis terhadap malware pada Mei 2023, diketahui mereka memiliki kesamaan dalam “metode distribusi, kampanye, dan perilaku malware.
Baca juga: Komersialisasi Kejahatan Siber |
Serangan Phising Baru
DarkGate, pada bagiannya, menggabungkan teknik-teknik canggih untuk menghindari deteksi oleh sistem antivirus, seperti:
- Kemampuan untuk mencatat penekanan tombol.
- Mengeksekusi PowerShell.
- Mengimplementasikan reverse shell yang memungkinkan operatornya mengambil alih host yang terinfeksi dari jarak jauh.
Koneksinya bersifat dua arah, artinya pelaku dapat mengirimkan perintah dan menerima respons secara real time, yang memungkinkan mereka untuk:
- Menavigasi sistem korban.
- Mengambil data.
- Melakukan tindakan jahat lainnya.
Analisis terhadap operasi phising bervolume tinggi menunjukkan bahwa operasi ini menargetkan berbagai sektor, dengan rantai serangan menyebarkan URL jebakan yang mengarah ke arsip ZIP di rangkaian email yang dibajak.
Arsip ZIP berisi dropper JavaScript yang pada gilirannya menghubungi URL kedua untuk mengunduh dan menjalankan malware DarkGate atau PikaBot.
Varian penting dari serangan ini telah diamati memanfaatkan file add-in Excel (XLL) sebagai pengganti dropper JavaScript untuk mengirimkan muatan akhir.
Infeksi DarkGate atau PikaBot yang berhasil dapat menyebabkan pengiriman perangkat lunak penambangan kripto yang canggih, alat pengintaian, ransomware, atau file berbahaya lainnya yang ingin dipasang oleh pelaku ancaman di mesin korban.
Sumber berita: