Lebih dari seratus bank dan lembaga keuangan di seluruh dunia telah terinfeksi malware canggih berbasis memori berbahaya yang hampir tidak terdeteksi peneliti keamanan. Laporan tersebut baru saja diterbitkan oleh perusahaan keamanan asal Rusia - Kaspersky Lab yang menunjukkan bahwa hacker sekarang ini lebih banyak menargetkan bank, perusahaan telekomunikasi, dan organisasi pemerintah di 40 negara, termasuk Amerika Serikat, Amerika Selatan, Eropa dan Afrika, menggunakan "fileless malware" yang bekerja tersembunyi dalam memori komputer.


Fileless malware pertama kali ditemukan oleh perusahaan keamanan yang sama pada tahun 2014. Malware fileless adalah bagian dari perangkat lunak jahat yang tidak menyalin file atau folder ke hard drive untuk dijalankan. Sebaliknya, muatan secara langsung disuntikkan ke dalam memori dari proses yang berjalan, dan malware mengeksekusi di RAM sistem.

Fileless malware berjalan dalam memori, memori akan mengalami reboot, sehingga sulit bagi ahli forensik digital untuk menemukan jejak malware. Serangan itu awalnya ditemukan oleh tim keamanan bank setelah mereka menemukan salinan meterpreter - komponen memori yang terdapat pada Metasploit - dalam memori fisik dari Microsoft domain controller.

Setelah melakukan analisis forensik, peneliti Kaspersky menemukan bahwa penyerang memanfaatkan Windows PowerShell untuk memuat kode meterpreter langsung ke memori yang kemudian menulis ke disk. Penjahat dunia maya juga memanfaatkan Microsoft NETSH networking tool untuk mendirikan sebuah proxy tunnel untuk berkomunikasi dengan Command and Control (C&C) server sebagai pengendali host yang terinfeksi.

Mereka juga menyimpan perintah PowerShell ke registri Windows dalam upaya untuk mengurangi semua jejak serangan yang tersisa di log atau hard drive setelah reboot perangkat dalam upaya untuk mempersulit upaya analisis forensik. Tujuan akhir dari penyerang ditujukan untuk melumpuhkan komputer yang mengendalikan ATM sehingga mereka bisa mencuri uang dengan mudah.

Peneliti Kaspersky Lab mengungkapkan rincian lebih lanjut pada bulan April tentang serangan tersebut yang terjadi pada skala industri di seluruh dunia. Sekarang ini serangan itu sudah melanda jaringan lebih dari 140 perusahaan di sektor bisnis, dengan sebagian besar korban berada di AS, Prancis, Ekuador, Kenya, Inggris, dan Rusia.
 
Top