Lebih dari 28.000 orang dari Rusia, Turki, Ukraina, dan negara-negara lain di kawasan Eurasia terkena dampak kampanye malware pencuri mata uang kripto berskala besar.
Kampanye malware menyamar sebagai perangkat lunak sah yang dipromosikan melalui video YouTube dan repositori GitHub palsu tempat korban mengunduh arsip yang dilindungi kata sandi yang memulai infeksi.
Menurut perusahaan keamanan siber Dr. Web, kampanye tersebut menggunakan perangkat lunak bajakan yang berhubungan dengan kantor, cheat dan peretasan game, dan bahkan bot perdagangan otomatis untuk menipu pengguna agar mengunduh file berbahaya.
“Secara total, kampanye malware ini telah berdampak pada lebih dari 28.000 orang, yang sebagian besar adalah penduduk Rusia,” kata Dr.Web.
“Sejumlah besar infeksi juga terjadi di Belarus, Uzbekistan, Kazakhstan, Ukraina, Kyrgyzstan, dan Turki.”
Sumber: Dr.Web
Rantai infeksi
Infeksi dimulai dengan membuka arsip self-extracting yang menghindari pemindaian antivirus saat diunduh karena dilindungi kata sandi.
Setelah korban memasukkan kata sandi yang diberikan, arsip tersebut mengeluarkan berbagai skrip yang dikaburkan, file DLL, dan juru bahasa AutoIT yang digunakan untuk meluncurkan pemuat muatan utama yang ditandatangani secara digital.
Malware memeriksa keberadaan alat debugging untuk melihat apakah itu berjalan di lingkungan analis dan berhenti jika ditemukan.
Selanjutnya, ia mengekstrak file yang diperlukan untuk tahap serangan selanjutnya dan kemudian menggunakan teknik Image File Execution Options (IFEO) untuk memodifikasi Windows Registry agar tetap bertahan.
Singkatnya, ia membajak layanan sistem Windows yang sah serta proses pembaruan Chrome dan Edge dengan yang berbahaya, sehingga file malware dieksekusi saat proses ini diluncurkan.
Layanan Pemulihan Windows dinonaktifkan, dan izin “hapus” dan “modifikasi” pada file dan folder malware dicabut untuk mencegah upaya pembersihan.
Dari sana, utilitas jaringan Ncat digunakan untuk menjalin komunikasi dengan server perintah dan kontrol (C2).
Malware juga dapat mengumpulkan informasi sistem, termasuk menjalankan proses keamanan, yang dieksfiltrasi melalui bot Telegram.
Sumber: Dr.Web
Dampak finansial
Kampanye ini mengirimkan dua muatan utama ke mesin korban. Yang pertama adalah “Deviceld.dll,” perpustakaan .NET yang dimodifikasi yang digunakan untuk mengeksekusi SilentCryptoMiner, yang menambang cryptocurrency menggunakan sumber daya komputasi korban.
Payload kedua adalah “7zxa.dll,” perpustakaan 7-Zip yang dimodifikasi yang bertindak sebagai clipper, memantau clipboard Windows untuk alamat dompet yang disalin dan menggantinya dengan alamat di bawah kendali penyerang.
Dr. Web tidak merinci dalam laporannya potensi keuntungan penambangan dari 28.000 mesin yang terinfeksi tetapi menemukan bahwa clipper sendiri telah membajak transaksi senilai $6.000, mengalihkan jumlah tersebut ke alamat penyerang.
Untuk menghindari kerugian finansial yang tidak terduga, hanya unduh perangkat lunak dari situs resmi proyek dan blokir atau lewati hasil yang dipromosikan di Google Penelusuran.
Selain itu, berhati-hatilah terhadap tautan yang dibagikan di YouTube atau GitHub, karena legitimasi platform ini tidak menjamin keamanan tujuan pengunduhan.
