Investigasi ini juga menyoroti kriptor/loader AsymCrypt yang baru-baru ini ada dan pencuri Lumma (Lumma stealer) yang terus berkembang. Ini menggarisbawahi kebutuhan akan peningkatan keamanan digital.
Zanubis, trojan perbankan Android, muncul pada Agustus 2022, menargetkan pengguna keuangan dan kripto di Peru. Dengan meniru aplikasi Android Peru yang sah, aplikasi ini menipu pengguna agar memberikan izin Aksesibilitas, sehingga menyerahkan kendali.
Pada bulan April 2023, Zanubis berevolusi, menyamar sebagai aplikasi resmi untuk organisasi pemerintah Peru SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), yang menunjukkan peningkatan akan kecanggihan trojan ini.
Zanubis dikaburkan dengan bantuan Obfuscapk, obfuscator populer untuk file APK Android. Setelah mendapat izin untuk mengakses perangkat, ia menipu korban dengan memuat situs web SUNAT asli menggunakan WebView, sehingga tampak sah.
Untuk berkomunikasi dengan server pengontrolnya, ia menggunakan WebSockets dan perpustakaan yang disebut Socket.IO. Hal ini memungkinkannya untuk beradaptasi dan tetap terhubung meskipun terdapat masalah.
Tidak seperti malware lainnya, Zanubis tidak memiliki daftar aplikasi target yang tetap. Sebaliknya, ia dapat diprogram dari jarak jauh untuk mencuri data ketika aplikasi tertentu sedang berjalan.
Malware ini bahkan membuat koneksi kedua, yang dapat memberikan penjahat siber kendali penuh atas perangkat pengguna. Dan yang terburuk adalah, ini dapat menonaktifkan perangkat pengguna dengan berpura-pura menjadi pembaruan Android.
Penemuan terbaru lainnya oleh Kaspersky adalah AsymCrypt cryptor/loader, yang menargetkan dompet kripto dan dijual di forum bawah tanah. Seperti yang ditunjukkan oleh penyelidikan, ini adalah versi pemuat DoubleFinger yang telah berevolusi, bertindak sebagai "garda depan" ke layanan jaringan TOR.
Pembeli menyesuaikan metode injeksi, proses target, persistensi startup, dan jenis stub untuk DLL berbahaya, menyembunyikan muatan dalam gumpalan terenkripsi dalam gambar .png yang diunggah ke situs hosting gambar. Eksekusi mendekripsi gambar, kemudian mengaktifkan payload di memori.
Pelacakan ancaman siber yang dilakukan Kaspersky juga mengarah pada pencuri Lumma, sebuah rangkaian malware yang terus berkembang. Awalnya dikenal sebagai Arkei, Lumma yang terlah berganti merek ini mempertahankan 46% atribut sebelumnya.
Menyamar sebagai pengonversi .docx ke .pdf, distribusinya yang manipulative memicu muatan berbahaya ketika file yang diunggah kembali dengan ekstensi ganda .pdf.exe. Seiring waktu, fungsi utama semua varian tetap sama: mencuri file cache, file konfigurasi, dan log dari dompet kripto.
Hal ini dapat dilakukan dengan bertindak sebagai plugin browser, tetapi juga mendukung aplikasi Binance yang berdiri sendiri. Evolusi Lumma mencakup perolehan daftar proses sistem, mengubah URL komunikasi, dan memajukan teknik enkripsi.
“Penjahat siber tidak akan berhenti mengejar keuntungan moneter, kini semakin merambah dunia aset kripto, dan bahkan menyamar sebagai lembaga pemerintah untuk mencapai tujuan mereka. Lanskap malware yang terus berkembang, seperti pencuri Lumma yang mempunyai banyak segi hingga ambisi Zanubis sebagai Trojan perbankan yang lengkap, menggarisbawahi sifat dinamis dari ancaman-ancaman ini."
"Beradaptasi terhadap transformasi terus-menerus dalam kode berbahaya dan peningkatan taktik penjahat siber memberikan tantangan berkelanjutan bagi tim pertahanan. Untuk melindungi diri dari bahaya yang terus berevolusi ini, organisasi harus tetap waspada dan mendapat informasi yang cukup."
"Laporan intelijen memainkan peran penting dalam mengikuti perkembangan alat berbahaya dan teknik terbaru para penjahat siber, memberdayakan kita untuk tetap selangkah lebih maju dalam pertempuran yang sedang berlangsung demi keamanan digital,” komentar Tatyana Shishkova, peneliti keamanan utama di GReAT.
Untuk mencegah ancaman siber bermotif finansial ini, Kaspersky merekomendasikan:
1. bSiapkan cadangan offline yang tidak dapat dirusak oleh penyusup. Pastikan dapat mengaksesnya dengan cepat dalam keadaan darurat saat dibutuhkan.
2. Instal perlindungan ransomware untuk semua titik akhir yang melindungi komputer dan server dari ransomware dan jenis malware lainnya, mencegah eksploitasi, dan kompatibel dengan solusi keamanan yang sudah terinstal sebelumnya.
3. Untuk meminimalkan kemungkinan peluncuran penambang kripto, gunakan solusi keamanan khusus dengan kontrol aplikasi dan web; analisis perilaku membantu mendeteksi aktivitas berbahaya dengan cepat, sementara manajer kerentanan dan patch akan melindungi dari penyerang kripto yang mengeksploitasi kerentanan.
Kaspersky akan mempelajari lebih dalam masa depan keamanan siber di Security Analyst Summit (SAS) 2023, yang dijadwalkan pada tanggal 25-28 Oktober di Phuket, Thailand.
Konferensi ini akan mempertemukan para peneliti elit anti-malware, penegak hukum global, Tim Tanggap Darurat Komputer, dan para pemimpin senior dari berbagai sektor termasuk keuangan, teknologi, layanan kesehatan, akademisi, dan pemerintahan dari seluruh dunia.
Cek Berita dan Artikel yang lain di
Google News
