Peretas telah mengubah cara mereka melakukan operasi cyber yang ditargetkan - alih-alih melakukan investasi dan mengembangkan malware mereka; beberapa kelompok hacking sekarang mulai menggunakan malware siap pakai seperti script kiddies. Mungkin, ini bisa menjadi langkah cerdas bagi hacker yang disponsori negara agar tidak mudah dikenali.


Peneliti keamanan dari beberapa firma keamanan, termasuk Arbor Networks dan FireEye, secara independen menemukan serangkaian kampanye perangkat lunak perusak yang menargetkan sektor kedirgantaraan, kontraktor pertahanan dan sektor manufaktur di berbagai negara, termasuk Amerika Serikat, Thailand, Korea Selatan dan India.

Para peretas sekarang ini lebih menggunakan password stealer malware yang dijuluki dengan nama FormBook yang telah ditanam pada sistem yang ditargetkan. FormBook tidak lain adalah "malware-as-as-service," yang merupakan perangkat lunak pencuri data yang telah diiklankan di berbagai forum hacking sejak awal 2016. Siapa pun dapat menyewa FormBook hanya dengan $ 29 per minggu atau $ 59 per bulan, yang menawarkan berbagai kemampuan mata-mata pada mesin target, termasuk kemampuan keylogger, pencuri kata sandi, sniffer jaringan, screenshots, pencuri data formulir web dan banyak lagi.

Menurut para peneliti, penyerang menggunakan email untuk mendistribusikan malware FormBook sebagai lampiran dalam berbagai bentuk, termasuk PDF dengan tautan unduhan berbahaya, file DOC dan XLS dengan makro jahat, dan file arsip (ZIP, RAR, ACE, dan ISO) yang berisi muatan EXE. Setelah diinstal pada sistem target, malware menyuntikkan dirinya ke dalam berbagai proses dan mulai menangkap penekanan tombol dan mengekstrak kata kunci yang tersimpan dan data sensitif lainnya dari beberapa aplikasi, termasuk Google Chrome, Firefox, Skype, Safari, Vivaldi, Q-360, Microsoft Outlook, Mozilla Thunderbird, 3D-FTP, FileZilla dan WinSCP.

FormBook terus mengirimkan semua data yang dicuri ke server command and control (C2) yang juga memungkinkan penyerang untuk menjalankan perintah lain pada sistem yang ditargetkan, termasuk start proces, shutdown dan reboot sistem, dan mencuri cookies. "Salah satu fitur malware yang paling menarik adalah membaca modul 'ntdll.dll Windows dari disk ke memori, dan memanggil fungsi yang diekspor secara langsung, membuat mekanisme pemanduan pengguna dan mekanisme pemantauan API tidak efektif," kata FireEye.

"Penulis malware menyebut teknik ini "metode Lagos Island"(diduga berasal dari rootkit userland)." Menurut para peneliti, FormBook juga terlihat mengunduh keluarga malware lainnya seperti NanoCore dalam beberapa minggu terakhir. Penyerang bahkan dapat menggunakan data yang berhasil dipanen oleh FormBook untuk kegiatan cybercriminal lebih lanjut termasuk pencurian identitas, operasi phishing, penipuan bank dan pemerasan. Jadi cara terbaik untuk melindungi diri dari malware ini adalah dengan tetap menyimpan perangkat lunak antivirus yang baik di sistem Anda, dan selalu selalu up-to-date.
 
Top