Ransomware, Phising dan TripAdvisor

Dalam dunia siber yang penuh dengan trik dan manipulasi, ransomware, phising dan TripAdvisor kali ini punya cerita tersendiri dalam ranah kejahatan siber.

Ransomware yang terlibat dalam kasus terbaru ini adalah ransomware Knight yang melakukan operasi spam berkelanjutan dengan berpura-pura menjadi keluhan di TripAdvisor.

Knight ransomware adalah rebrand terbaru dari Cyclop Ransomware-as-a-Service, yang berganti nama pada akhir Juli 2023.

Evolusi Ransomware

Operasi ransomware Cyclops diluncurkan pada Mei 2023 ketika operator mulai merekrut afiliasi untuk ransomware-as-a-service (RaaS) baru di forum peretasan RAMP.

Sebuah laporan menjelaskan bahwa operasi diluncurkan dengan enkripsi untuk Windows, macOS, dan Linux/ESXi. Operasi ini juga menawarkan malware infostealer afiliasi untuk Windows dan Linux, yang biasanya tidak terlihat dalam operasi RaaS.

Selain enkripsi normal mereka, operasi ini menawarkan versi ‘ringan’ untuk digunakan dalam kampanye distribusi massal spam dan spray & pray

Yang menargetkan sejumlah besar pengguna yang ditargetkan. Versi ini tampaknya menggunakan jumlah tebusan tetap daripada bernegosiasi dengan korban.

Pada akhir Juli, Cyclops berganti nama menjadi Knight, juga menyatakan bahwa mereka memperbarui encryptor lite untuk mendukung ‘distribusi batch’ dan meluncurkan situs kebocoran data baru.

“Kami telah memperbarui panel baru kami dan secara resmi mengubah nama kami menjadi Knight. Kami sedang mencari mitra (dalam bentuk apa pun) itu!!!,” bunyi pengumuman di situs kebocoran data Cyclops lama dan baru Knight.

Pengembang ransomware Knight juga menginformasikan bahwa mereka juga memperbarui versi lite untuk mendukung distribusi batch. Sampai sejauh ini tidak ada korban atau file curian yang bocor di situs kebocoran data Knight.

Operasi Spam Baru

Sementara email yang sebenarnya tidak dibagikan, Felix mengatakan bahwa email tersebut menyertakan lampiran file ZIP bernama ‘TripAdvisorComplaint.zip’ yang berisi executable bernama ‘TripAdvisor Complaint – Possible Suspension.exe’ [VirusTotal].

Versi yang lebih baru dari operasi ini ditemukan dan dianalisis dan saat ini menyertakan lampiran HTML bernama ‘TripAdvisor-Complaint-[random].PDF.htm’ [VirusTotal].

Ketika file HTML dibuka, itu akan menggunakan teknik phishing Browser-in-the-Browser Mr.D0x untuk membuka apa yang tampak seperti jendela browser ke TripAdvisor.

Jendela browser palsu ini berpura-pura menjadi keluhan yang diajukan ke sebuah restoran, meminta pengguna untuk meninjaunya.

Namun, mengklik tombol ‘Baca Keluhan’ akan mengunduh file Excel XLL bernama TripAdvisor_Complaint-Possible-Suspension.xll.

File XLL ini dibuat menggunakan Excel-DNA, yang mengintegrasikan .NET ke dalam Microsoft Excel untuk mengeksekusi malware saat dibuka.

Saat membuka XLL, Microsoft Excel akan mendeteksi Mark of the Web, ditambahkan ke file yang diunduh dari Internet, termasuk email.

Jika mendeteksi MoTW, itu tidak akan mengaktifkan add-in .NET yang ada di dalam dokumen Excel, meniadakan serangan kecuali pengguna membuka blokir file.

Namun, jika tidak ada tanda MoTW pada file, Excel akan menanyakan pengguna apakah mereka ingin mengaktifkan add-in.

Mengaktifkan add-in akan menyebabkan enkripsi ransomware Knight Lite disuntikkan ke dalam proses explorer.exe baru dan mulai mengenkripsi file di komputer Anda.

Saat mengenkripsi file, itu akan menambahkan ekstensi .knight_l ke nama file yang dienkripsi, di mana bagian ‘l’ kemungkinan adalah singkatan dari ‘lite.’

Catatan Tebusan

Ransomware juga akan membuat catatan tebusan bernama How To Restore Your Files.txt di setiap folder di komputer. Catatan tebusan dalam operasi ini menuntut $5.000 dikirim ke alamat Bitcoin yang terdaftar dan juga berisi tautan ke situs Knight Tor.

Namun, setiap catatan tebusan dalam operasi ini menggunakan alamat Bitcoin yang sama yaitu ’14JJfrWQbud8c8KECHyc9jM6dammyjUb3Z’, yang membuat pelaku tidak dapat menentukan korban mana yang membayar tebusan.

Karena ini adalah kampanye Knight Lite, mengunjungi situs tidak menampilkan panel negosiasi. Sebaliknya, itu menunjukkan pesan yang menyatakan bahwa korban seharusnya sudah membayar permintaan tebusan dan kemudian menghubungi afiliasi di brahma2023@onionmail.org.

Saat ini, tidak diketahui apakah membayar uang tebusan akan menghasilkan dekripsi dari afiliasi Knight.

Selain itu, semua catatan tebusan menggunakan alamat Bitcoin yang sama, memungkinkan orang lain mengklaim pembayaran sebagai milik mereka, yang pada dasarnya mencuri pembayaran Anda.

Oleh karena itu, sangat disarankan untuk tidak membayar uang tebusan dalam operasi ini, karena ada kemungkinan besar Anda tidak akan menerima dekripsi.

Semoga pembahasan mengenai ransomware, phising dan TripAdvisor di atas dapat menjadi informasi yang manfaat seputar dunia kejahatan siber.

Sumber berita:

Bleeping Computer