Credit image: Freepix
Malware Loader Canggih yang Memanfaatkan Taktik Phising – Para peneliti keamanan siber telah menemukan malware loader baru bernama CountLoader. Malware ini digunakan oleh geng ransomware asal Rusia untuk mengirimkan alat-alat pascaeksploitasi, seperti Cobalt Strike dan AdaptixC2, serta remote access trojan (RAT) yang dikenal sebagai PureHVNC RAT.
CountLoader digunakan sebagai bagian dari perangkat Initial Access Broker (IAB) atau oleh afiliasi ransomware yang memiliki hubungan dengan grup ransomware LockBit, Black Basta, dan Qilin.
Ancaman ini muncul dalam tiga versi berbeda .NET, PowerShell, dan JavaScript dan telah diamati dalam operasi yang menargetkan individu. Operasi ini menggunakan umpan phising berbasis PDF dan menyamar sebagai Polisi Nasional Ukraina.
|
Baca juga: Malware Ini Cacing Raksasa di Film Dune |
Taktik dan Kemampuan CountLoader
CountLoader tidak hanya satu file malware tunggal, melainkan sebuah platform dengan berbagai versi yang dirancang untuk menjalankan berbagai fungsi jahat.
- Penyebaran Awal: Versi PowerShell dari CountLoader sebelumnya terdeteksi oleh Kaspersky, disebarkan menggunakan umpan yang berhubungan dengan DeepSeek untuk menipu pengguna agar menginstalnya.
- BrowserVenom: Serangan ini kemudian mengarah pada penyebaran implant bernama BrowserVenom. Malware ini dapat mengonfigurasi ulang semua instans browser untuk memaksa lalu lintas melalui proksi yang dikendalikan oleh penyerang. Hal ini memungkinkan penyerang untuk memanipulasi lalu lintas jaringan dan mengumpulkan data.
- Versi JavaScript: Versi JavaScript adalah implementasi yang paling lengkap. Ia menawarkan enam metode berbeda untuk mengunduh file, tiga metode untuk mengeksekusi biner malware, dan fungsi yang telah ditentukan sebelumnya untuk mengidentifikasi perangkat korban berdasarkan informasi domain Windows.
- Pengumpulan Data dan Persistensi: Malware ini juga mampu mengumpulkan informasi sistem dan mengatur persistensi di host dengan membuat tugas terjadwal yang menyamar sebagai tugas pembaruan Google Chrome.
- Penyalahgunaan Alat Sah: Para pengembang CountLoader menunjukkan pemahaman mendalam tentang sistem operasi Windows dengan menggunakan LOLBins (Living Off the Land Binaries) seperti certutil dan bitsadmin untuk mengunduh file. Dengan menggunakan alat sistem yang sah, mereka membuat deteksi menjadi lebih sulit. Selain itu, mereka menerapkan generator PowerShell dengan enkripsi on the fly, yang semakin menambah kerumitan.
- Staging Area: Salah satu aspek yang menarik adalah penggunaan folder Musik milik korban sebagai area staging untuk malware. Versi .NET juga memiliki fungsi serupa, tetapi lebih sederhana, hanya mendukung dua jenis perintah (UpdateType.Zip atau UpdateType.Exe).
Infrastruktur dan Keterkaitan Penjahat Siber
CountLoader didukung oleh infrastruktur yang terdiri dari lebih dari 20 domain unik. Malware ini berfungsi sebagai saluran untuk mengirimkan Cobalt Strike (alat pengujian penetrasi komersial yang banyak disalahgunakan), AdaptixC2, dan PureHVNC RAT.
PureHVNC RAT adalah pendahulu dari PureRAT dan merupakan produk komersial dari penjahat siber yang dikenal sebagai PureCoder.
Operasi terbaru yang mendistribusikan PureHVNC RAT memanfaatkan taktik rekayasa sosial ClickFix. Korban dibujuk ke halaman phising ClickFix melalui tawaran pekerjaan palsu. Trojan ini disebarkan dengan bantuan Rust-based loader.
Analisis dari GitHub menunjukkan bahwa PureCoder menggunakan akun-akun GitHub yang berputar untuk menyimpan file yang mendukung fungsionalitas PureRAT. Aktivitas ini dilakukan dari zona waktu UTC+03:00, yang sesuai dengan Rusia dan beberapa negara lainnya.
Penemuan ini sejalan dengan penelitian yang mengungkap sifat jaringan lanskap ransomware Rusia yang saling terhubung.
Mereka mengidentifikasi pergerakan penjahat siber lintas grup dan penggunaan alat seperti AnyDesk dan Quick Assist, yang menunjukkan tumpang tindih operasional.
Menurut peneliti, kesetiaan merek di antara para operator ini lemah, dan modal manusia tampaknya menjadi aset utama, daripada jenis malware tertentu.
Operator beradaptasi dengan kondisi pasar, mengatur ulang diri mereka sebagai respons terhadap takedown, dan hubungan kepercayaan sangatlah penting.
Individu-individu ini akan memilih untuk bekerja dengan orang yang mereka kenal, terlepas dari nama organisasinya.
Konklusi
Penemuan CountLoader dan keterkaitannya dengan geng ransomware Rusia yang lebih besar menggarisbawahi evolusi ancaman siber. Penjahat siber semakin canggih, tidak hanya dalam mengembangkan malware yang lebih kompleks, tetapi juga dalam membangun ekosistem yang saling terhubung di mana pengetahuan dan kepercayaan antar individu menjadi mata uang utama.
Ancaman ini menekankan pentingnya pertahanan yang berlapis. Perusahaan harus berinvestasi tidak hanya pada alat keamanan yang canggih tetapi juga pada pelatihan karyawan untuk mengenali taktik rekayasa sosial yang semakin licik.
Mengingat bahwa penjahat siber terus beradaptasi dan berkolaborasi, pertahanan yang kuat harus terus-menerus memantau, mendeteksi, dan merespons ancaman dengan cepat untuk mencegah kerusakan yang signifikan.
Sumber berita:
