• : info@idnsa.id
IDNSA
  • Beranda
  • Agenda
  • Literasi Digital
    Test Mandiri IDNSA secure school program
  • Webinar
  • Galeri
  • Tentang Kami
Masuk / Daftar
  1. Home
  2. Article
  3. Malware Dridex menargetkan pengguna MacOS dengan teknik pengiriman baru
Like

  • 0
Bookmark

Share

  • 476

Malware Dridex menargetkan pengguna MacOS dengan teknik pengiriman baru

scofield
2 years ago

idNSA.id - Pakar Trend Micro menemukan varian baru malware perbankan Dridex yang menargetkan platform MacOS dan menggunakan teknik baru untuk mengirimkan dokumen yang disematkan dengan makro berbahaya.

Trojan perbankan Dridex yang   telah ada sejak 2014, terlibat dalam berbagai kampanye melawan  lembaga keuangan  selama bertahun-tahun dan penjahat terus meningkatkannya. Malware perbankan diyakini dioperasikan oleh geng kejahatan cyber yang dikenal sebagai Evil Corp.

Sampel yang dianalisis oleh Trend Micro tiba dalam bentuk file yang dapat dieksekusi  Mach-o : a.out  (terdeteksi sebagai Trojan.MacOS.DRIDEX.MANP).

Sampel paling awal yang dianalisis oleh Trend Micro diserahkan ke VirusTotal pada April 2019, sedangkan sampel terbaru bertanggal Desember 2022.

“Segmen data sampel berisi dokumen tertanam berbahaya dan digunakan oleh variabel _payload_doc. Pembongkaran menunjukkan bahwa malware melakukan loop di mana konten _payload_doc disalin hingga penghitung mencapai _payload_doc_len, ukuran kode berbahaya.” membaca analisis yang diterbitkan oleh Trend Micro. “Setelah malicious code siap, segmen cstring berperan dalam menimpa code ke file target.”

Malicious embedded document pertama kali terdeteksi pada tahun 2015, para peneliti memperhatikan bahwa file .doc yang terpengaruh menggabungkan objek ThisDocument  yang menyertakan makro buka otomatis yang memanggil fungsi berbahaya.

Malware pertama-tama mencari file .doc di direktori pengguna saat ini (~/User/{user name}) menggunakan command  find ~ -name “*.doc”  . Kemudian melintasi setiap file dokumen ( i ) menggunakan  for  loop, dan menulis malicious melalui command  echo '%s'  . Kode makro berbahaya yang disalin dari dokumen yang disematkan berada dalam dump heksadesimal biasa.

Dridex macOS

Makro yang terdapat dalam file .doc yang ditimpa yang diekstraksi menggunakan oletools (Trend Micro)

“Sementara fitur makro di Microsoft Word dinonaktifkan secara default, malware akan menimpa semua file dokumen untuk pengguna saat ini, termasuk file bersih. Hal ini mempersulit pengguna untuk menentukan apakah file tersebut berbahaya karena tidak berasal dari sumber eksternal.” lanjut postingan tersebut.

Makro dalam dokumen yang ditimpa terhubung ke server jarak jauh untuk mengambil muatan tambahan. Para ahli juga memperhatikan bahwa malware juga menjatuhkan file .exe yang tidak akan berjalan di lingkungan MacOS, suatu keadaan yang menunjukkan bahwa malicious code masih dalam tahap pengujian.

“Sementara dokumen yang berisi makro jebakan biasanya dikirim melalui serangan rekayasa sosial, temuan sekali lagi menunjukkan bahwa  keputusan Microsoft untuk memblokir makro  secara default telah mendorong pelaku ancaman untuk menyempurnakan taktik mereka dan menemukan metode masuk yang lebih efisien.

“Pelaku kejahatan yang menggunakan Dridex juga mencoba menemukan target baru dan metode masuk yang lebih efisien.” menyimpulkan laporan. “Saat ini, dampak pada pengguna MacOS untuk varian Dridex ini diminimalkan karena muatannya adalah file exe (dan karenanya tidak kompatibel dengan lingkungan MacOS). Namun, itu masih menimpa file dokumen yang sekarang menjadi pembawa makro berbahaya Dridex. Selain itu, ada kemungkinan pelaku ancaman di balik varian ini akan mengimplementasikan modifikasi lebih lanjut yang membuatnya kompatibel dengan MacOS.”



Label : Cyber Security News Malware MacOS Apple

Artikel Terkait :

Kerentanan BMC Mengekspos Server Supermicro ke Rem...
Waspada, 24 Aplikasi Android Ini Terjangkit Virus...
Tetap Aman dari Ancaman Cyber di Jaringan Kabel
Situs Web bagi Pengguna Android Bisa Berhenti Berf...
IdNSA

IdNSA - Indonesia Network Security Association

Bandung Techno Park Kawasan Pendidikan Telkom
Jl. Telekomunikasi, Sukapura, Kec. Dayeuhkolot, Bandung, Jawa Barat 40257, Indonesia

Phone : (022) 88884200 Ext 203

  • : info@idnsa.id

Privacy Policy - Term and Condition

- IdNSA