Perilaku aktor antagonis dunia maya selalu saja melahirkan sesuatu yang baru untuk bisa mewujudkan keinginana mereka mencapai tujuan. Berbagai teknik seperti dengan menggunakan server CDN Facebook jadi alat untuk mencari korban-korban baru. Kelompok penjahat di balik serangan melalui server CDN ini menyimpan file berbahaya ke dalam server tersebut yang nantinya digunakan untuk menginfeksi pengguna dengan trojan perbankan.
Peneliti keamanan siber melihat adanya sebuah operasi siber menggunakan server CDN Facebook dalam dua minggu terakhir dan sebelumnya kelompok yang sama menggunakan layanan penyimpanan awan Dropbox dan Google untuk menyimpan payload berbahaya yang sama. Kejadian ini merupakan ulangan serangan yang terjadi pada bulan Juli lalu.
Kelompok ini menggunakan CDN Facebook karena domainnya dipercaya oleh sebagian besar solusi keamanan dan peluangnya sangat kecil untuk diblokir, dibandingkan dengan malware menginap di domain yang jarang aktif di dalam jaringan bisnis.
Cara Kerja
Proses infeksi dimulai dengan pengguna yang menerima email palsu dari para pelaku. Email ini berpose sebagai komunikasi resmi dari pihak berwenang setempat dan berisi tautan.
Tautan mengarah ke CDN (Content Delivery Network) Facebook. Pelaku kemudian mengunggah file di grup Facebook atau bagian publik lainnya, ambil URL file tersebut, dan tambahkan di email spam. Pengguna yang mengeklik tautan akan mengunduh file RAR atau ZIP. Arsip ini berisi file tautan (shortcut).
Jika pengguna mengklik pada file link, jalan pintas memanggil aplikasi yang sah yang terinstal pada kebanyakan jendela PC – seperti Command Prompt atau PowerShell – untuk menjalankan skrip PowerShell yang dikodekan. Teknik penggunaan aplikasi lokal untuk menyembunyikan operasi berbahaya dikenal sebagai “Squiblydoo,” dan tujuannya adalah untuk memotong perangkat lunak keamanan tingkat rendah.
Dari sini, skrip PowerShell yang dikodekan mengunudh dan menjalankan skrip PowerShell lainnya yang memulai badai operasi. Script PowerShell kedua mengunduh file DLL loader, yang pada gilirannya mengunduh file EXE yang sah dan DLL kedua.
Operasi berlanjut dengan pembuatan file tautan (shortcut) lain yang mengarah ke skrip VBS. Script PowerShell kemudian memanggil file shortcut, yang pada gilirannya memanggil skrip VBS, yang kemudian menjalankan file EXE legitimate, yang pada selanjutnya memuat file DLL kedua.
Kelompok tersebut juga memeriksa lokasi geografis pengguna berdasarkan alamat IP-nya. Jika korban bukan dari negara target, operasi infeksi akan dibatalkan dan rutinitas infeksi akan mengunduh dan akhirnya memuat sebuah file DLL yang kosong. Tapi jika korban berasal dari negara target dalam hal ini, Brasil. File EXE yang sah memuat file DLL yang berbahaya.
File DLL ini kemudian mengunduh dan menginstal Banload, sebuah downloader malware yang kemudian digunakan untuk mengirimkan trojan perbankan yang menargetkan pengguna Brasil saja, yang oleh ESET terdeteksi sebagai Win32/Spy.Banker.ADYV.
Win32/Spy.Banker.ADYV ikut terlihat pada infeksi pada bulan sebelumnya di tahun ini, pada bulan Juli 2017 oleh divisi ESET di Brazil, dalam sebuah operasi yang dikenal dengan nama DownAndExec, yang juga dilakukan oleh kelompok yang sama.
Peneliti keamanan siber yang melihat aktivitas yang terjadi baru-baru ini, menggambarkan mereka sebagai kelompok yang terdiri dari peretas handal, bahkan lebih daripada itu, mereka juga bagian dari kelompok spionase siber negara tertentu.
Mereka memiliki senjata untuk melakukan operasi spam besar-besaran yang membanjiri daerah sasaran dengan email berbahaya. Kelompok ini meminjam teknik dari pemasar online dan menggunakan gambar pelacakan yang disematkan di email spam mereka untuk melihat siapa yang membuka email mereka. Setidaknya 200.000 pengguna Brasil mendapat email semacam ini. Dua operasi lainnya juga mencapai antara 70.000-80.000.
Motif Serangan
Para peneliti menyakini bahwa serangan kali ini juga berasal dari kelompok penjahat yang sama di balik kampanye Banload yang menargetkan Brasil pada tahun 2016, dan operasi lain yang mendorong trojan perbankan Escelar pada tahun 2015 yang juga menargetkan pengguna Brasil pada umumnya.
Operasi semacam ini umumnya dilakukan berkali-kali karena melihat grafik keberhasilan serangan yang meningkat. Namun, jika negara yang menjadi target sasaran sudah mampu menekan penyebaran infeksi dan mampu mengatasi serangan yang masuk, biasanya para penjahat siber ini akan mencari sasaran baru.
Motif seperti ini bukan sekali dua kali terjadi di dunia siber, pelaku kriminal dunia maya tidak akan memaksakan diri untuk terus menyerang lokasi yang sama secara terus menerus jika tahu jika upaya mereka sudah dinetralisir, tujuannnya tentu saja untuk menghindari pendeteksian dan pengejaran dari pihak-pihak yang berkompeten dalam kejahatan.
Sumber berita:
https://www.bleepingcomputer.com/
