Kucing Hitam Pasang Iklan Jebakan

Ransomware satu ini memang sangat aktif belakangan di dunia maya, diketahui demi menjebak korbannya kucing hitam pasang iklan jebakan melalui peramban untuk memperdaya korbannya.

Grup ransomware BlackCat menjalankan operasi malvertising untuk memikat orang ke halaman palsu yang meniru situs web resmi aplikasi transfer file WinSCP untuk Windows tetapi malah mendorong penginstal yang ditunggangi malware.

WinSCP (Windows Secure Copy) adalah SFTP, FTP, S3, klien SCP, dan pengelola file sumber terbuka dan gratis yang populer dengan kemampuan transfer file SSH dengan 400.000 unduhan mingguan di SourceForge saja.

BlackCat menggunakan program ini sebagai umpan untuk berpotensi menginfeksi komputer administrator sistem, admin web, dan profesional TI untuk akses awal ke jaringan perusahaan yang berharga.

Vektor infeksi ransomware BlackCat yang sebelumnya tidak diketahui ini ditemukan oleh pata analis yang melihat kampanye iklan yang mempromosikan halaman palsu di halaman pencarian Google dan Bing.

Dari WinSCP ke CobaltStrike

Serangan BlackCat dimulai dengan korban mencari “Unduhan WinSCP” di Bing atau Google dan mendapatkan hasil berbahaya yang dipromosikan dengan peringkat di atas situs unduhan WinSCP yang aman.

Para korban mengklik iklan tersebut dan mengunjungi situs web yang menyelenggarakan tutorial tentang melakukan transfer file otomatis menggunakan WinSCP.

Situs-situs ini tidak berisi apa pun yang berbahaya, cenderung menghindari deteksi oleh perayap anti-penyalahgunaan Google.

Tetapi mengarahkan pengunjung ke klon situs web resmi WinSCP yang menampilkan tombol unduh. Klon ini menggunakan nama domain yang mirip dengan domain wincp.net asli untuk utilitas, seperti winccp[.]com.

Korban mengklik tombol dan menerima file ISO yang berisi “setup.exe” dan “msi.dll,” yang pertama adalah iming-iming bagi pengguna untuk meluncurkan dan yang kedua adalah dropper malware yang dipicu oleh executable.

“Setelah setup.exe dijalankan, ia akan memanggil msi.dll yang nantinya akan mengekstrak folder Python dari bagian DLL RCDATA sebagai penginstal nyata untuk WinSCP yang akan diinstal pada mesin,” jelas laporan Trend Micro.

Proses ini juga menginstal trojanized python310.dll dan membuat mekanisme persistensi dengan membuat run key bernama “Python” dan nilainya “C:\Users\Public\Music\python\pythonw.exe”.

Pythonw.exe yang dapat dieksekusi memuat python310.dll yang dikaburkan yang dimodifikasi yang berisi suar Cobalt Strike yang terhubung ke alamat server perintah-dan-kontrol.

Tool Lain Digunakan BlackCat

Setelah Cobalt Strike berjalan di sistem, mudah untuk mengeksekusi skrip tambahan, mengambil alat untuk pergerakan lateral, dan umumnya memperdalam kompromi.

Analis memperhatikan bahwa operator BlackCat menggunakan alat berikut pada fase berikutnya:

• AdFind: alat baris perintah yang digunakan untuk mengambil informasi Active Directory (AD).
• Perintah PowerShell digunakan untuk mengumpulkan data pengguna, mengekstrak file ZIP, dan menjalankan skrip.
• AccessChk64: alat baris perintah yang digunakan untuk pengintaian izin pengguna dan grup.
• Findstr: alat baris perintah yang digunakan untuk mencari kata sandi dalam file XML.
• PowerView: Skrip PowerSploit digunakan dalam pengintaian dan pencacahan AD.
• Skrip python digunakan untuk menjalankan alat pemulihan kata sandi LaZagne dan mendapatkan kredensial Veeam.
• PsExec, BitsAdmin, dan Curl, digunakan untuk pergerakan lateral
• AnyDesk: alat manajemen jarak jauh yang sah disalahgunakan untuk menjaga kegigihan
• Skrip KillAV BAT digunakan untuk menonaktifkan atau melewati program antivirus dan antimalware.
• Klien Putty Secure Copy digunakan untuk mengekstraksi informasi yang dikumpulkan dari sistem yang dilanggar.

Terminator

Seiring dengan alat di atas, BlackCat juga menggunakan SpyBoy “Terminator,” sebuah EDR dan penonaktifan antivirus yang dijual oleh pelaku ancaman di forum peretasan berbahasa Rusia seharga $3.000.

Penelitian terbaru mengonfirmasi bahwa “Terminator” mampu melewati beberapa alat keamanan Windows dengan menggunakan mekanisme “Bring Your Own Vulnerable Driver” (BYOVD) untuk meningkatkan hak istimewa pada sistem dan menonaktifkannya.

Setelah menghubungkan TTP di atas dengan infeksi ransomware BlackCat yang dikonfirmasi. Ditemukan juga file ransomware Clop di salah satu domain C2 yang diselidiki, sehingga pelaku mungkin berafiliasi dengan beberapa operasi ransomware.

Demikian pembahasan mengenai ransomware kucing hitam pasang iklan jebakan di peramban, semoga dapat bermanfaat dan menambah wawasan.

Sumber berita”

WeLIveSecurity