Malware ZLoader kembali muncul
Teknologi.id - Malware terkenal ini akhirnya membuat babak baru, menyalahgunakan verifikasi tanda tangan digital atau e-Signature Microsoft untuk mencuri kata sandi dan informasi sensitif lainnya dari para korbannya.
Menurut peneliti keamanan siber dari Check Point Research (CPR), yang melihat aksi malware ZLoader paling baru digunakan untuk mendistribusikan ransomware Conti beberapa bulan lalu.
Kali ini, bagaimanapun juga ZLoader adalah muatan terakhir, sedangkan tujuan utamanya adalah untuk mencuri data sensitif dan bukan untuk mengenkripsi perangkat.
Baca Juga: China Merilis Aplikasi Smartphone untuk Mata Uangnya
Penyisipan licik
Proses distribusinya tidak ada yang luar biasa menurut CPR. Pertama, korban menginstal program manajemen jarak jauh "berpura-pura menjadi instalasi Java" padahal, pada kenyataannya, itu memberi penyerang akses penuh ke sistem dan memungkinkan mereka untuk mengunggah dan mengunduh file, serta menjalankan skrip.
Penyerang kemudian "mengunggah dan menjalankan beberapa skrip, yang mengunduh lebih banyak skrip dengan menjalankan mshta.exe dengan file appContrast.dll sebagai parameter". File appContrast.dll ditandatangani oleh Microsoft, meskipun lebih banyak informasi telah ditambahkan ke akhir file, CPR menjelaskan, bahwa informasi tambahan ini yang mengunduh dan menjalankan payloader ZLoad terakhir yang mencuri kata sandi dan data sensitif lainnya. CPR mengklaim bahwa malware tersebut telah diinstal pada lebih dari 2.000 perangkat di 111 negara, dengan mayoritas korban berada di Amerika Serikat, Kanada, dan India. CPR percaya bahwa kelompok kejahatan dunia maya di balik aksi kriminal itu dikenal MalSmoke, “mengingat adanya beberapa kesamaan dengan aksi-aksi kejahatan sebelumnya”, katanya. “Kami pertama kali mulai melihat bukti aksi mereka baru sekitar November 2021,” kata Kobi Eisenkraft, Peneliti Malware di Check Point Research. “Secara keseluruhan, sepertinya penulis kampanye Zloader berusaha keras untuk menghindari pertahanan dan masih memperbarui metode mereka setiap minggu. Saya sangat mendesak pengguna untuk menerapkan pembaruan Microsoft untuk verifikasi Authenticode yang ketat karena verifikasi ini tidak diterapkan secara default.” Selain menerapkan pembaruan Microsoft untuk verifikasi Authenticode yang ketat, yang tidak diterapkan secara default, Check Point Research juga mengingatkan semua orang untuk berhati-hati saat menginstal program dari sumber atau situs yang tidak dikenal. Dan terakhir, berhati-hatilah saat mengklik tautan atau membuka lampiran email, karena ini sering kali berbahaya. Ribuan korban
(MYAF)