- SambaSpy menargetkan pengguna Italia dengan email phishing berisi file HTML atau tautan berbahaya yang berisi downloader atau dropper malware.
- Email phishing berisi tautan yang mengarahkan pengguna ke situs web berbahaya yang berisi kode JavaScript dan file JAR yang berbahaya yang berisi downloader atau dropper malware.
- Aktor ancaman menggunakan file ZIP dan ISO untuk mengunduh serta menginstal malware seperti BBTok, Grandoreiro, dan Mekotio yang menargetkan pengguna Brasil dan Spanyol.
pibitek.biz -SambaSpy adalah malware baru yang menyerang pengguna Italia melalui email phishing yang dirancang oleh aktor ancaman brasileira-portugis. Malware ini menargetkan pengguna Italia dengan menggunakan email phishing yang berisi Lampiran HTML atau tautan yang berbahaya. Jika lampiran HTML dibuka, maka akan muncul arsip ZIP yang berisi downloader atau dropper yang akan mengunduh dan merilis payload malware. Downloader bertanggung jawab untuk mengunduh malware dari server jarak jauh. Dropper, di sisi lain, melakukan hal yang sama, tapi dengan mengekstrak payload dari arsip ZIP.
2 – Google Kerjasama dengan Reaktor Nuklir untuk AI 2 – Google Kerjasama dengan Reaktor Nuklir untuk AI
3 – OSCAL TIGER 13: Ponsel Pintar dengan Kamera AI nan Hebat 3 – OSCAL TIGER 13: Ponsel Pintar dengan Kamera AI nan Hebat
Rantai infeksi kedua dengan tautan berbahaya lebih rumit. Jika tautan diklik, maka pengguna akan diarahkan ke situs web yang sah jika mereka bukan target yang diinginkan. Tapi, jika tautan yang sama diklik oleh pengguna yang ditargetkan, maka mereka akan diarahkan ke situs web yang berbahaya yang berisi kode JavaScript dengan komentar dalam bahasa portugis. Situs web ini kemudian mengarahkan pengguna ke URL Microsoft OneDrive yang berisi dokumen PDF yang meminta pengguna untuk mengklik tautan untuk melihat dokumen.
Setelah itu, pengguna akan diarahkan ke file JAR yang berbahaya yang berisi downloader atau dropper. SambaSpy adalah trojan akses jarak jauh yang dikembangkan dalam bahasa Java. Ia dapat menangani manajemen file sistem, manajemen proses, manajemen desktop jarak jauh, pengunggahan dan pengunduhan file, kontrol webcam, keylogging, dan clipboard tracking, serta screenshot capture dan shell jarak jauh. Selain itu, SambaSpy juga dapat memuat plugin tambahan saat runtime dengan merilis file di disk yang sebelumnya telah diunduh oleh trojan, sehingga memungkinkan ia untuk meningkatkan kemampuannya.
Terdapat bukti infrastruktur yang menunjukkan bahwa aktor ancaman di balik kampanye ini juga menargetkan Brasil dan Spanyol, sehingga menunjukkan ekspansi operasional mereka. Kaspersky mencatat bahwa terdapat berbagai koneksi dengan Brasil, seperti artefak bahasa dalam kode dan domain yang menargetkan pengguna Brasil. Hal ini sejalan dengan fakta bahwa aktor ancaman dari Amerika Latin sering menargetkan negara-negara Eropa dengan bahasa yang terkait, seperti Italia, Spanyol, dan Portugal. Pengembangan ini muncul beberapa minggu setelah Trend Micro memperingatkan tentang lonjakan kampanye yang mengirim trojan perbankan seperti BBTok, Grandoreiro, dan Mekotio yang menargetkan wilayah Amerika Latin melalui skema phishing yang menggunakan transaksi bisnis dan transaksi hukum sebagai umpan.
Mekotio menggunakan teknik baru yang memungkinkan skrip PowerShell untuk di-obfuscate, sehingga meningkatkan kemampuannya untuk menghindari deteksi. BBTok menggunakan tautan phishing untuk mengunduh file ZIP atau ISO yang berisi file LNK yang berfungsi sebagai trigger poin untuk infeksi. File LNK digunakan untuk melanjutkan ke langkah berikutnya dengan merilis MSBuild.exe yang sah, yang ada dalam file ISO. MSBuild.exe kemudian memuat file XML yang berbahaya yang juga tersembunyi dalam file ISO, yang kemudian menggunakan rundll32.exe untuk merilis payload BBTok.
Aktor ancaman menggunakan MSBuild.exe, utilitas Windows yang sah, untuk menjalankan kode berbahaya mereka sambil menghindari deteksi. Rantai serangan terkait dengan Mekotio dimulai dengan URL berbahaya dalam email phishing yang, jika diklik, mengarahkan pengguna ke situs web palsu yang mengirimkan arsip ZIP yang berisi file batch yang dirancang untuk menjalankan skrip PowerShell. Skrip PowerShell bertindak sebagai downloader tahap kedua untuk merilis trojan dengan menggunakan skrip AutoHotKey, tapi tidak sebelum melakukan survei terhadap lingkungan korban untuk memastikan bahwa mereka berada di salah satu negara yang ditargetkan.
Lebih lanjut lagi, Trend Micro mencatat bahwa skema phishing yang lebih canggih ini menargetkan pengguna Amerika Latin untuk mencuri kredensial perbankan yang sensitif dan melakukan transaksi perbankan yang tidak sah. Hal ini menggarisbawahi kebutuhan akan langkah-langkah keamanan siber yang lebih ketat untuk melawan metode yang semakin canggih yang digunakan oleh para penjahat siber. Trojan-trojan ini telah semakin canggih dalam menghindari deteksi dan mencuri informasi yang sensitif, sementara geng-geng di balik mereka menjadi lebih berani dalam menargetkan kelompok yang lebih besar untuk keuntungan yang lebih besar.
Pastinya, malware seperti SambaSpy dan trojan perbankan seperti BBTok, Grandoreiro, dan Mekotio menunjukkan bahwa para penjahat siber terus berinovasi dan mengembangkan metode baru untuk menyerang korban mereka. Dalam hal ini, sangat penting bagi pengguna untuk tetap waspada dan mengambil langkah-langkah yang diperlukan untuk melindungi diri mereka dari serangan tersebut. Pastikan untuk memperbarui software dan sistem operasi secara teratur, serta menggunakan software keamanan yang sah untuk melindungi diri dari malware dan trojan.
Serta, hindari mengklik tautan atau mengunduh file dari sumber yang tidak jelas, serta selalu memeriksa email dan pesan yang masuk dengan cermat sebelum mengambil tindakan. Dengan mengambil langkah-langkah sederhana ini, pengguna dapat mengurangi risiko menjadi korban serangan malware dan trojan yang semakin canggih ini.
