Virus Ransomware Terbaru Menyebar Melalui MS Word | Nitro Panic - Peneliti keamanan telah menemukan dua kampanye malware terpisah, salah satunya adalah mendistribusikan trojan mencuri data Ursnif dan ransomware GandCrab di alam liar, sedangkan yang kedua hanya menginfeksi korban dengan malware Ursnif.
Meskipun kedua kampanye malware ini tampaknya merupakan hasil kerja dari dua kelompok penjahat cyber yang terpisah, kami menemukan banyak kesamaan di dalamnya. Kedua serangan dimulai dari email phishing yang berisi dokumen Microsoft Word yang dilekatkan yang tertanam dengan makro jahat dan kemudian menggunakan Powershell untuk mengirimkan malware tanpa fileless.
Ursnif adalah malware pencuri data yang biasanya mencuri informasi sensitif dari komputer yang dikompromikan dengan kemampuan untuk memanen kredensial perbankan, kegiatan menjelajah, mengumpulkan penekanan tombol, informasi sistem dan proses, dan menggunakan backdoors tambahan.
Ditemukan awal tahun lalu, GandCrab adalah ancaman ransomware luas yang, seperti setiap ransomware lain di pasar, mengenkripsi file pada sistem yang terinfeksi dan mendesak korban untuk membayar uang tebusan dalam mata uang digital untuk membukanya. Pengembangnya meminta pembayaran terutama dalam DASH, yang lebih rumit untuk dilacak.
Makro MS Docs + VBS = Infeksi Ursnif dan GandCrab
Kampanye malware pertama yang mendistribusikan dua ancaman malware ditemukan oleh peneliti keamanan di Carbon Black yang menemukan sekitar 180 varian dokumen MS Word di alam liar yang menargetkan pengguna dengan makro VBS berbahaya.
Jika berhasil dieksekusi, makro VBS berbahaya menjalankan skrip PowerShell, yang kemudian menggunakan serangkaian teknik untuk mengunduh dan mengeksekusi Ursnif dan GandCrab pada sistem yang ditargetkan.
Skrip PowerShell dikodekan dalam base64 yang mengeksekusi tahap infeksi berikutnya yang bertanggung jawab untuk mengunduh muatan malware utama untuk membahayakan sistem.
Muatan pertama adalah PowerShell one-liner yang mengevaluasi arsitektur sistem yang ditargetkan dan kemudian mengunduh muatan tambahan dari situs web Pastebin, yang dieksekusi dalam memori, sehingga menyulitkan teknik anti-virus tradisional untuk mendeteksi aktivitasnya.
"Skrip PowerShell ini adalah versi modul Empire Invoke-PSInject, dengan sedikit modifikasi," kata peneliti Carbon Black. "Script akan mengambil file PE [Portable Executable] tertanam yang telah disandikan base64 dan menyuntikkannya ke dalam proses PowerShell saat ini."
Payload terakhir kemudian menginstal varian ransomware GandCrab pada sistem korban, mengunci mereka dari sistem mereka sampai mereka membayar uang tebusan dalam mata uang digit.
Sementara itu, malware juga mengunduh Ursnif yang dapat dieksekusi dari server jarak jauh dan sekali dieksekusi, ia akan mengambil sidik jari sistem, memonitor lalu lintas peramban web untuk mengumpulkan data, dan kemudian mengirimkannya ke server perintah dan kontrol penyerang (C&C).
"Namun, banyak varian Ursnif di-host di situs com bevendbrec [.] Selama kampanye ini. Carbon Black dapat menemukan sekitar 120 varian Ursnif berbeda yang di-host dari domain iscondisth [.] Com dan bevendbrec [.] Com, "kata para peneliti.
MS Docs + VBS macro = Ursnif Malware Pencuri Data
Demikian pula, kampanye malware kedua yang ditemukan oleh peneliti keamanan di Cisco Talos memanfaatkan dokumen Microsoft Word yang berisi makro VBA berbahaya untuk memberikan varian lain dari malware Ursnif yang sama.
microsoft office docs makro malware
Serangan malware ini juga mengkompromikan sistem yang ditargetkan dalam beberapa tahap, mulai dari email phishing hingga menjalankan perintah PowerShell yang berbahaya untuk mendapatkan kegigihan tanpa fileless dan kemudian mengunduh dan menginstal virus komputer pencuri data Ursnif.
"Ada tiga bagian dari perintah [PowerShell]. Bagian pertama menciptakan fungsi yang kemudian digunakan untuk mendekode base64 yang dikodekan PowerShell. Bagian kedua membuat array byte yang berisi DLL berbahaya," jelas peneliti Talos.
"Bagian ketiga mengeksekusi fungsi decode base64 yang dibuat di bagian pertama, dengan string yang disandikan base64 sebagai parameter ke fungsi. PowerShell yang didekode kembali kemudian dieksekusi oleh fungsi stoke Invoke-Expression (iex)."
Setelah dieksekusi di komputer korban, malware mengumpulkan informasi dari sistem, memasukkan ke dalam format file CAB, dan kemudian mengirimkannya ke server perintah-dan-kontrol melalui koneksi aman HTTPS.
Peneliti Talos telah menerbitkan daftar indikator kompromi (IOC), bersama dengan nama-nama nama file payload yang dijatuhkan pada mesin yang dikompromikan, pada posting blog mereka yang dapat membantu Anda mendeteksi dan menghentikan malware Ursnif sebelum menginfeksi jaringan Anda.
