Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Manfaatkan Dokumen Word, Ransomware Mole Menyebar
  • Teknologi

Manfaatkan Dokumen Word, Ransomware Mole Menyebar

2 min read

Credit image: Pixabay

ESET sudah meramalkan bahwa ransomware akan terus berkembang biak dan memunculkan varian-varian baru, dari yang biasa saja sampai yang berbahaya, yang terbaru adalah ransomware Mole yang ditemukan saat diadakan penelitian terhadap oeprasi Spam besar-besaran belakangan ini.

Setelah memeriksa dan menganalisis sampel dari ransomware, ada kemungkinan Mole merupakan varian lain dari keluarga CryptoMix karena memiliki kesamaan dengan varian Revenge dan Cryptoshield. Jadi bisa dikatakan ini hanya varian sebuah keluarga ransomware yang sudah ada.

Infeksi Ransomware Mole

Penyebaran ransomware Mole dilakukan melalui kampanye email spam yang berpura-pura mengirimkan pemberitahuan. Email ini menyatakan bahwa paket tidak bisa dikirimkan dan kemudian menampilkan tautan sebuah situs yang berisi informasi tambahan.

ketika pengguna mengklik tautan terlampir, ia akan mengarahkan ke sebuah situs online palsu Microsoft Word yang menampilkan dokumen yang seharusnya tidak terbaca. Laman ini menyatakan bahwa dokumen tidak bisa dibaca dalam browser dan meminta pengguna untuk mengunduh dan menginstal plugin..

Jika pengguna mengklik pada tombol unduh ia akan mengunduh sebuah file yang bernama plugin-office.exe atau pluginoffice.exe. Jika file ini dijalankan maka ransommware Mole terinstal.pada komputer korban.

Enkripsi Mole

Setelah ransomware executable diunduh dan dijalankan pada komputer korban, ia kemudian menampilkan peringatan palsu yang dirancang untuk memaksa korban mengklik Yes pada permintaan UAC sehingga ransomware berjalan dengan hak admin.


Begitu pengguna menekan tombol OK pada prompt di atas, korban akan ditampilkan dengan Account Control prompt pengguna, yang meminta korban mengizinkan command “C:\Windows\SysWOW64\wbem\WMIC.exe” memproses panggilan membuat “%UserProfile%\pluginoffice.exe” dijalankan.

Setelah korban mengklik Yes, ransomware meluncur kembali dengan hak admin dan menghasilkan ID heksadesimal unik untuk korban. Id ini kemudian diserahkan ke server Command & Control, yang akan merespon dengan kunci publik enkripsi RSA-1024. Kunci ini akan digunakan oleh ransomware untuk mengenkripsi kunci enkripsi AES yang digunakan untuk mengenkripsi file korban. Kunci RSA disimpan dalam file %UserProfile%\AppData\Roaming
\26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE.

Kemudian ransomware akan mengeluarkan perintah berikut untuk menonaktifkan pemulihan startup Windows dan menghapus Windows Shadow Volume Copies. Berikutnya, ransomware Mole memindai komputer untuk mencari file yang menjadi target dan bila menenmukannya, file tersebut langsung dienkripsi menggunakan enkripsi AES-256, mengganti nama file dan menambahkan eksytensi .mole pada bagian akhir file.

Dalam setiap folder di mana Mole mengenkripsi file, ia akan menciptakan ransom note bernama INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT. Tidak seperti kebanyakan infeksi ransomware, Mole tidak menciptakan varian HTML untuk ransom note.

Selesai dengan proses mengenkripsi, ransomwrae Mole menampilkan ransom note. Ransom note ini berisi informasi mengenai apa yang terjadi pada file korban, sebuah ID identifikasi personal, dan dua alamat email yang nbisa digunakan untuk menghubungi pengembang ransomware untuk mendapatkan instruksi pembayaran.

Alamat email yang dimaksud adalah oceanm@engineer.com and oceanm@india.com. Yang menarik perhatian adalah bahwa ransomware Revenge memiliki alamat email Mole00@writeme.com. Jadi, kemungkinan ada benang merah di sana.

Sumber berita:

https://www.bleepingcomputer.com

Tags: Ransomware

Post navigation

Previous Trojan Pencuri Kredensial PayPal Bersembunyi dalam Aplikasi
Next Spyware SMSVova Sembunyi dalam Aplikasi System Update

Related Stories

Mengapa MSP Wajib Adopsi Layanan MDR Mengapa MSP Wajib Adopsi Layanan MDR
4 min read
  • Sektor Bisnis
  • Teknologi

Mengapa MSP Wajib Adopsi Layanan MDR

October 29, 2025
Shadow IT Ancaman di Balik Layar Shadow IT Ancaman di Balik Layar
3 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Shadow IT Ancaman di Balik Layar

October 29, 2025
Awas! Infostealer Canggih Incar Data Pembayaran Awas! Infostealer Canggih Incar Data Pembayaran
4 min read
  • Sektor Personal
  • Teknologi

Awas! Infostealer Canggih Incar Data Pembayaran

October 28, 2025

Recent Posts

  • Mengapa MSP Wajib Adopsi Layanan MDR
  • Shadow IT Ancaman di Balik Layar
  • CoPhish Modus Phising Baru Lewat Copilot
  • Browser in the Middle
  • Awas! Infostealer Canggih Incar Data Pembayaran
  • Serangan Backdoor WordPress Kontrol Admin Bisa Dicuri!
  • Modus Penipuan Email Bisnis Paling Merugikan
  • 10 Malware Tercanggih yang Mengintai Ponsel Android
  • Waspada Jingle Thief Cloud Ritel Jadi Target Utama
  • Serangan DreamJob Incar Pabrik Drone

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengapa MSP Wajib Adopsi Layanan MDR Mengapa MSP Wajib Adopsi Layanan MDR
4 min read
  • Sektor Bisnis
  • Teknologi

Mengapa MSP Wajib Adopsi Layanan MDR

October 29, 2025
Shadow IT Ancaman di Balik Layar Shadow IT Ancaman di Balik Layar
3 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Shadow IT Ancaman di Balik Layar

October 29, 2025
CoPhish Modus Phising Baru Lewat Copilot CoPhish Modus Phising Baru Lewat Copilot
3 min read
  • Sektor Bisnis
  • Sektor Personal

CoPhish Modus Phising Baru Lewat Copilot

October 29, 2025
Browser in the Middle Browser in the Middle
3 min read
  • Sektor Bisnis
  • Sektor Personal

Browser in the Middle

October 29, 2025

Copyright © All rights reserved. | DarkNews by AF themes.