Ulah penjahat siber terbaru kali ini dengan tipuan DocuSign malware perbankan. Triknya boleh beda namun ujungnya selalu sama, memanfaatkan attachment pada email.
Pengguna harus berhati-hati agar tidak menjadi target trojan perbankan baru yang dikenal sebagai CHAVECLOAK yang disebarkan melalui email phising yang berisi lampiran PDF.
Serangan rumit ini melibatkan PDF mengunduh file ZIP dan kemudian memanfaatkan teknik side-loading DLL untuk mengeksekusi malware terakhir.
Umpan DocuSign
Rantai serangan ini melibatkan penggunaan umpan DocuSign bertema kontrak untuk mengelabui pengguna agar membuka file PDF yang berisi tombol untuk membaca dan menandatangani dokumen.
Kenyataannya, mengklik tombol tersebut akan mengarah pada pengambilan file penginstal dari tautan jarak jauh yang dipersingkat menggunakan layanan penyingkat URL Goo.su.
Hadir dalam penginstal adalah executable bernama “Lightshot.exe” yang memanfaatkan side-loading DLL untuk memuat “Lightshot.dll,” yang merupakan malware CHAVECLOAK yang memfasilitasi pencurian informasi sensitif.
Hal ini termasuk mengumpulkan metadata sistem dan menjalankan pemeriksaan untuk menentukan apakah mesin yang disusupi berlokasi di Brasil dan, jika demikian, secara berkala memantau jendela latar depan untuk membandingkannya dengan daftar string terkait bank yang telah ditentukan sebelumnya.
Jika cocok, koneksi dibuat dengan server command & control (C2) dan mulai mengumpulkan berbagai jenis informasi dan menyaringnya ke titik akhir yang berbeda di server tergantung pada lembaga keuangan.
Fasilitas Malware
Malware ini memfasilitasi berbagai tindakan untuk mencuri kredensial korban, seperti mengizinkan operator memblokir layar korban, mencatat penekanan tombol, dan menampilkan jendela pop-up yang menipu.
Malware ini secara aktif memantau akses korban ke portal keuangan tertentu, termasuk beberapa bank dan pasar Bitcoin, yang mencakup platform perbankan tradisional dan mata uang kripto.
Munculnya Trojan perbankan CHAVECLOAK menggarisbawahi berkembangnya lanskap ancaman siber yang menargetkan sektor keuangan.
Temuan ini muncul di tengah operasi penipuan mobile banking yang sedang berlangsung terhadap Inggris, Spanyol, dan Italia yang melibatkan penggunaan taktik smishing dan vishing
Yaitu, SMS dan phising suara untuk menyebarkan malware Android bernama Copybara dengan tujuan melakukan transfer perbankan tidak sah ke sebuah bank. jaringan rekening bank yang dioperasikan oleh money bagal.
Pelaku Ditangkap
Pelaku telah ditangkap menggunakan cara terstruktur dalam mengelola semua kampanye phising yang sedang berlangsung melalui panel web terpusat yang dikenal sebagai ‘Mr. Robot.
Dengan panel ini, pelaku dapat mengaktifkan dan mengelola beberapa operasi phising terhadap berbagai lembaga keuangan berdasarkan kebutuhan mereka.
Kerangka kerja C2 juga memungkinkan pelaku untuk mengatur serangan yang disesuaikan terhadap lembaga keuangan tertentu menggunakan perangkat phising
Yakni perangkat yang dirancang untuk meniru antarmuka pengguna dari entitas yang ditargetkan, sekaligus mengadopsi metode anti-deteksi melalui geofencing dan sidik jari perangkat untuk membatasi koneksi hanya dari perangkat seluler.
Kit phising yang berfungsi sebagai halaman login palsu bertanggung jawab untuk mencuri kredensial pelanggan perbankan ritel dan nomor telepon dan mengirimkan detailnya ke grup Telegram.
JOKER RAT
Beberapa infrastruktur berbahaya yang digunakan untuk operasi ini dirancang untuk mengirimkan Copybara, yang dikelola menggunakan panel C2 bernama JOKER RAT yang menampilkan semua perangkat yang terinfeksi dan distribusi geografisnya melalui peta langsung.
Hal ini juga memungkinkan pelaku untuk berinteraksi jarak jauh secara real-time dengan perangkat yang terinfeksi menggunakan modul VNC, selain menyuntikkan overlay palsu di atas aplikasi perbankan untuk menyedot kredensial, mencatat penekanan tombol dengan menyalahgunakan layanan aksesibilitas Android, dan menyadap pesan SMS.
Selain itu, JOKER RAT hadir dengan pembuat APK yang memungkinkan untuk menyesuaikan nama aplikasi jahat, nama paket, dan ikon.
Fitur lain yang tersedia di dalam panel adalah ‘Pemberitahuan Push’, yang mungkin digunakan untuk mengirim pemberitahuan push palsu ke perangkat yang terinfeksi yang terlihat seperti pemberitahuan bank untuk membujuk pengguna agar membuka aplikasi bank sedemikian rupa sehingga malware dapat mencuri kredensial.
Semakin canggihnya skema penipuan pada perangkat (ODF) dibuktikan lebih lanjut dengan terungkapnya kampanye TeaBot (alias Anatsa) yang baru-baru ini berhasil menyusup ke Google Play Store dengan kedok aplikasi pembaca PDF.
Aplikasi ini berfungsi sebagai dropper, memfasilitasi pengunduhan trojan perbankan keluarga TeaBot melalui beberapa tahap, kata Iubatti. Sebelum mengunduh trojan perbankan, dropper melakukan teknik penghindaran tingkat lanjut, termasuk kebingungan dan penghapusan file, serta beberapa pemeriksaan tentang negara korban.
Baca artikel lainnya:
- Phising Merek Terkenal
- Mencegah Pengelabuan Microsoft OneNote
- Email dan Keamanan Email
- Phising ChatGPT
- Alarm Peringatan Scammer
- Phising DHL
- Phising Menggunakan Postingan Facebook
- Lampiran Email Aman Dibuka
- Tanda Peringatan Email Berbah
Sumber berita: