Dridex: Banking Trojan Berwujud Scam Amazon Gift Card Melalui Dokumen Word

Photo: Amazon Gift Card (abc7news)

Operator Dridex baru-baru ini menggunakan teknik social engineering dalam mengelabui para korbannya dengan iming-iming akan mengirimkan Amazon Gift Card senilai $100 akan tetapi yang dikirimkan malah Trojan Banking yang disinyalir akan mengexploitasi mesin target.

Laporan ini pertama kali ditemukan oleh tim Nocturnus Cybereason sejak awal Desember 2020, penjahat dunia maya ini mengincar sejumlah negara bagian di Amerika dan Eropa Barat karena masyarakat disana sangat menyukai berbelanja di platform Amazon. Menurut data IBM US Retail Index bahwa konsumen yang berbelanja di toko online telah meningkat sebesar 20%. Oleh karena itu, para pelaku kejahatan siber memanfaatkan peluang ini untuk membuat kampanye serangan-serangan yang canggih.

Apa Itu Dridex?

Dridex muncul ke permukaan dunia maya diketahui sudah ada sejak 2012 dan produk ini adalah salah satu banking trojan yang sangat terkenal di benua Amerika dan Eropa. Dridex juga dikenal sebagai Cridex dan Bugat sebagai malware yang mencuri informasi sensitif perbankan.

Pekerjaan yang dilakukan operator Dridex dalam menyebarkan malware banking trojan dengan menggunakan email phising yang berisi dokumen word milik Microsoft Office. Sama seperti yang lain, Dridex juga memiliki kemampuan untuk menghindari pendeteksian anti-virus. Penggerak Dridex diketahui dari kelompok Evil Corp bersama kelompok peretas lain seperti TA505. Menurut Cybereason, kelompok peretas TA505 menggunakan malware berbahaya yang disebut sebagai SDBOT,  Servhelper, CLOP Ransomware dan FlawedAmmy.

Skenario Serangan Banking Trojan Dridex

Amazon-Phising-Email
Photo: Sample Amazon Phising via Email (@JAMESWT_MHT)

Pertama-tama pelaku akan membuat sebuah pesan email yang tampak mirip dengan pesan asli yang dimiliki Amazon. Isi email itu menampilkan body pesan yang menyatakan bahwa mereka dikirimi Amazon Gift Card, untuk mengelabui korban pelaku juga menggunakan judul "Amazon.com sent you an Amazon Gift Card!" dengan menggunakan email yang juga dimiripkan perusahaan tersebut.

Berikut tahapan Dridex dalam hal alur eksekusi:
  • Dokumen word yang berisi makro berbahaya ditujukan kepada target.
  • Saat dibuka, file SCR akan mengekstrak dirinya di mesin target.
  • File VBScript yang dikirimkan melalui email akan tereksekusi jika korban mengklik "Enable Content"
File VBScript yang ditautkan sebelumnya sudah di obfuscate yang mana tujuannya untuk menghindari perangkat lunak anti-virus. Sebenarnya kode asli VBScript itu berisi skrip PowerShell yang di encode ke dalam base64 dan ketika berkas dokumen word ini dibuka maka akan menamplkan informasi kesalahan palsu. Setelah korban melakukan tindakan klik, maka skrip PowerShell tersebut akan mengirimkan payload Dridex untuk tugas selanjutnya.

Teknikal Analisis Dridex Amazon Gift Card

Bagian ini akan kami ulas berdasarkan data dari sumber perusahaan keamanan Cybereason termasuk temuan yang juga kami peroleh dari sample file DLL yang digunakan Evil Corp dalam membuat malware banking trojan.

Pengiriman pertama yaitu dengan metode penamaan file dokumen word dengan nama "Gift Card" jika file berbahaya ini di scan menggunakan situs VirusTotal maka akan terdeteksi sebanyak 5 buah dokumen berbeda.

VirusTotal-Dridex
Photo: Scanning Dridex VirusTotal (Cybereason)

Dengan isi pesan yang menarik perhatian, secara sadar korban melakukan tindakan klik pada berkas dokumen word yang berbahaya. Selain itu, berkas yang biasanya berisi muatan makro akan menampilkan pemberitahuan yang bertuliskan Security Warning "Enable Content". Teknik seperti ini sudah lazim ditemukan pada malware serupa karena secara default makro yang digunakan tidak diaktifkan secara default.

Dokumen-Word-Dridex-Banking-Trojan
Photo: Dokumen Word Dridex (Cybereason)

Jika korban mengklik "Enable Content" maka akan menampilkan pesan error seperti yang terlihat pada gambar diatas bagian bawah. Itu menandakan payload VBScript berhasil tereksekusi dengan baik. Skrip makro nantinya akan menampilkan pop-up palsu padahal payload itu sudah berjalan di latar belakang.

Photo: PowerShell enkode Base64 (Cybereason)

Terakhir, skrip PowerShell itu akan berkomunikasi dengan server dan menjatuhkan Dridex ke mesin target.

Berikut tambahan screenshot perjalanan Dridex selama Desember dan cuplikan analisis malware yang kami peroleh:

Last-Dridex-2020
Photo: Last Seen Dridex Banking Trojan


VirusTotal-Dridex-Analisis
Photo: Amazon Gift Card SCR

svideos-bat-wscript
Photo: Proses setelah file SCR tereksekusi dan menghasilkan WScript.exe

cmd-system32-dridex-dropped
Photo: Eksekusi file elp.bat dengan cmd.exe

extraPFZ-dropeed-file
Photo: extraPFZ menjatuhkan 3 file berikutnya

wscript-extraPFZ-Dridex
Photo: Isi file pertama dari extraPFZ

cmd-wscript-dridex
Photo: Isi file kedua dari extraPFZ


Photo: File terakhir dan ini adalah Dridex

Photo: Koneksi yang digunakan Dridex

Kesimpulan

Teknik semacam ini bukanlah yang pertama kali akan tetapi sudah ada sejak lama semenjak peringatan wabah penyakit COVID-19 penjahat dunia maya terus bergerak untuk mencari keuntungan dibalik ini semua. Apalagi saat ini para karyawan tidak semuanya bekerja tatap muka melainkan remote jarak jauh.

Bukan hanya Dridex akan tetapi akan ada banyak serangan malware yang menggunakan teknik social engineering dengan berdalih menarik perhatian agar korban menuju ke perangkap. Jadi, tetap selalu waspada terhadap sesuatu apapun di dunia maya termasuk pesan email yang masuk ke kotak pesan.

Posting Komentar

0 Komentar