ItWorks- Perusahaan global cybersecurity, Kaspersky mengungkap adanya taktik infeksi yang kompleks dari jenis malware DarkGate, Emotet, dan LokiBot. Di tengah enkripsi unik DarkGate dan kembalinya Emotet yang kuat, eksploitasi LokiBot tetap ada, menggambarkan lanskap keamanan siber yang semakin berkembang.
Pada Juni 2023, para peneliti Kaspersky menemukan loader baru bernama DarkGate yang menawarkan serangkaian fitur melampaui fungsi pengunduh biasa. Beberapa kemampuan penting termasuk VNC tersembunyi, pengecualian Windows Defender, pencurian riwayat browser, proxy terbalik, manajemen file, dan
pencurian token Discord.Operasi DarkGate melibatkan rangkaian empat tahap, yang dirancang secara rumit untuk mengarah pada pemuatan DarkGate itu sendiri. Pembeda loader ini adalah caranya yang unik dalam mengenkripsi string dengan kunci yang dipersonalisasi dan versi kustom pengkodean Base64, menggunakan rangkaian karakter khusus.
Selain itu, penelitian ini meneliti aktivitas Emotet, botnet terkenal yang muncul kembali setelah dihapus pada tahun 2021. Dalam kampanye terbaru ini, pengguna yang tanpa sadar membuka file OneNote berbahaya memicu eksekusi VBScript yang tersembunyi dan disamarkan. Skrip kemudian mencoba mengunduh muatan berbahaya dari berbagai situs web hingga berhasil menyusup ke sistem. Begitu masuk, Emotet menanam DLL di direktori sementara, lalu menjalankannya. DLL ini berisi instruksi tersembunyi, atau kode shell, bersama dengan fungsi impor terenkripsi. Melalui keterampilan mendekripsi file tertentu dari bagian sumber dayanya, Emotet unggul, pada akhirnya mengeksekusi muatan berbahayanya.
Terakhir, Kaspersky mendeteksi kampanye phishing yang menargetkan perusahaan kapal kargo yang mengirimkan LokiBot. Ini adalah infostealer yang pertama kali diidentifikasi pada tahun 2016, dan dirancang untuk mencuri kredensial dari berbagai aplikasi, termasuk browser dan klien FTP. Email ini membawa lampiran dokumen Excel yang mendorong pengguna untuk mengaktifkan makro. Penyerang mengeksploitasi kerentanan yang diketahui (CVE-2017-0199) di Microsoft Office, yang mengarah ke pengunduhan dokumen RTF. Dokumen RTF ini kemudian memanfaatkan kerentanan lain (CVE-2017-11882) untuk mengirimkan dan mengeksekusi malware LokiBot.
“Kebangkitan Emotet dan kehadiran Lokibot yang berkelanjutan serta kemunculan DarkGate berfungsi sebagai pengingat nyata akan ancaman siber yang terus berkembang dan masih kita hadapi. Karena jenis malware ini beradaptasi dan mengadopsi metode infeksi baru, sangat penting bagi individu dan bisnis untuk tetap waspada serta berinvestasi dalam solusi keamanan siber unggul,” komentar Jornt van der Wiel, peneliti keamanan senior di Tim Riset dan Analisis Global (Global Research and Analysis Team / GReAT) Kaspersky dilansir dalam rilis pers, di Jakarta, baru-baru ini.
Untuk melindungi diri Anda dan bisnis dari serangan jenis ancaman canggih, pertimbangkan untuk mengikuti aturan yang diusulkan oleh Kaspersky berikut ini:
• Selalu perbarui perangkat lunak pada seluruh perangkat yang digunakan untuk mencegah penyerang mengeksploitasi kerentanan dan menyusup ke jaringan Anda.
• Fokuskan strategi pertahanan Anda untuk mendeteksi pergerakan lateral dan kebocoran data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat siber ke jaringan Anda. Siapkan cadangan offline yang tidak dapat dirusak oleh penyusup. Pastikan Anda dapat mengaksesnya dengan cepat saat dibutuhkan atau dalam keadaan darurat.
• Aktifkan perlindungan ransomware di semua titik akhir. Ada Alat Anti-Ransomware Kaspersky gratis untuk Bisnis yang melindungi komputer dan server dari ransomware dan jenis malware lainnya, mencegah eksploitasi, dan kompatibel dengan solusi keamanan yang sudah terpasang.
• Menginstal solusi anti-APT dan EDR, memungkinkan kemampuan untuk penemuan dan deteksi ancaman tingkat lanjut, investigasi, dan remediasi insiden secara tepat waktu. Beri tim SOC (Security operations center) Anda akses ke intelijen ancaman terbaru dan tingkatkan mereka secara teratur dengan pelatihan profesional. (AC)