Operasi Phising Malware Remcos

Baru beberapa bulan lalu, ESET Research menerbitkan kajian tentang operasi phising malware Remcos yang dilakukan secara besar-besaran yang terjadi selama paruh kedua tahun 2023.

Dalam operasi tersebut, malware Rescoms juga dikenal sebagai Remcos, yang dilindungi oleh AceCryptor, dikirimkan ke calon korban dengan tujuan pencurian kredensial dan potensi perolehan akses awal ke jaringan perusahaan.

Operasi phising yang menargetkan wilayah tersebut tidak berhenti pada tahun 2024. Berikut kita akan bahas mengenai operasi phising terkini dan bagaimana pilihan mekanisme pengiriman beralih dari AceCryptor ke ModiLoader.

Operasi Phising Malware Remcos

Secara umum, semua operasi mengikuti skenario yang sama. Perusahaan yang menjadi target menerima pesan email dengan penawaran bisnis yang dapat sesederhana “Silakan berikan penawaran harga terbaik Anda untuk pesanan terlampir no. 2405073”.

Pada operasi lain, pesan email lebih bertele-tele, seperti email phising yang dapat diterjemahkan sebagai berikut:

Hai, ESET

ingin membeli produk Anda untuk klien ESET.

Silakan lihat pertanyaan terlampir untuk langkah pertama pembelian ini. Lembar terlampir berisi target harga untuk sebagian besar produk. Saya menyoroti 10 elemen untuk fokus pada penetapan harga – item lainnya bersifat opsional untuk penetapan harga (ESET akan menerapkan tingkat harga yang sama berdasarkan harga lainnya).

Silakan hubungi saya kembali sebelum 28/05/2024 Jika Anda memerlukan waktu lebih lama, harap beri tahu saya berapa banyak yang Anda perlukan.

Jika Anda memiliki pertanyaan, harap beri tahu saya juga.

Seperti pada operasi phising H2 2023, pelaku menyamar sebagai perusahaan yang sudah ada dan karyawannya sebagai teknik pilihan untuk meningkatkan tingkat keberhasilan operasi.

Dengan cara ini, bahkan jika calon korban mencari tanda-tanda bahaya yang biasa (selain dari potensi kesalahan penerjemahan), tanda-tanda itu tidak ada, dan email tersebut tampak sah sebagaimana mestinya.

Di Dalam Lampiran

Email dari semua operasi berisi lampiran berbahaya yang membuat calon korban diberi insentif untuk membukanya, berdasarkan teks email tersebut.

Lampiran ini memiliki nama seperti RFQ8219000045320004.tar (seperti dalam Permintaan Penawaran) atau ZAMÓWIENIE_NR.2405073.IMG (terjemahan: ORDER_NO) dan berkas itu sendiri berupa berkas ISO atau arsip.

Dalam operasi yang mengirim berkas ISO sebagai lampiran, isinya adalah ModiLoader yang dapat dieksekusi (dinamai mirip atau sama dengan berkas ISO itu sendiri) yang akan diluncurkan jika korban mencoba membukanya.

Dalam kasus lain, ketika arsip RAR dikirim sebagai lampiran, isinya adalah skrip batch yang sangat dikaburkan, dengan nama yang sama dengan arsip dan dengan ekstensi berkas .cmd.

Berkas ini juga berisi ModiLoader yang dapat dieksekusi dengan kode base64, yang disamarkan sebagai daftar pencabutan sertifikat dengan kode PEM. Skrip tersebut bertanggung jawab untuk mendekode dan meluncurkan ModiLoader yang tertanam (Gambar 4).

ModiLoader Diluncurkan

ModiLoader adalah pengunduh Delphi dengan tugas sederhana – mengunduh dan meluncurkan malware. Dalam dua operasi, sampel ModiLoader dikonfigurasi untuk mengunduh malware tahap berikutnya dari server yang disusupi milik perusahaan Hungaria.

Dalam operasi lainnya, ModiLoader mengunduh tahap berikutnya dari penyimpanan awan OneDrive milik Microsoft. ESET mengamati empat akun tempat malware tahap kedua dihosting. Seluruh rangkaian penyusupan dari penerimaan email berbahaya hingga peluncuran muatan akhir dirangkum dalam Gambar 5.

Pencurian Data

Tiga keluarga malware yang berbeda digunakan sebagai muatan akhir: Agent Tesla, Rescoms, dan Formbook. Semua keluarga ini mampu mencuri informasi

Sehingga dengan demikian memungkinkan penyerang tidak hanya memperluas kumpulan data informasi yang dicuri, tetapi juga menyiapkan dasar untuk operasi berikutnya.

Meskipun mekanisme pencurian berbeda antara keluarga malware dan bagaimana mereka beroperasi, berikut adalah dua contoh mekanisme ini.

Dalam satu operasi, informasi dicuri melalui SMTP ke alamat menggunakan domain yang mirip dengan perusahaan Jerman. Perlu dicatat bahwa typosquatting merupakan teknik populer yang digunakan dalam operasi Rescoms sejak akhir tahun lalu.

Operasi lama ini menggunakan domain typosquatted untuk mengirim email phising. Salah satu operasi baru menggunakan domain typosquatted untuk mencuri data.

Ketika seseorang mencoba mengunjungi halaman web domain typosquatted ini, mereka akan langsung diarahkan ke halaman web perusahaan yang sah (yang ditiru).

Dalam operasi lain, ESET melihat data dicuri ke server web wisma tamu yang berlokasi di Rumania (negara yang menjadi target operasi semacam itu sekarang dan di masa lalu).

Dalam kasus ini, server web tersebut tampak sah (jadi tidak ada typosquatting) dan ESET yakin bahwa server akomodasi tersebut telah disusupi selama operasi sebelumnya dan disalahgunakan untuk aktivitas jahat.

Baca lainnya:

• Memahami Keamanan Siber
• Serangan Phising Kredensial
• Hacker Buru Pengguna Zimbra
• Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
• Lawas Salah Satu Dasar Kerentanan
• Subyek Umum dalam Phising
• Remote Access Phising
• Ajang Pengelabuan Saat Berlibur
• Pengelabuan Eksploitasi TLD

Sumber berita:

Prosperita IT News