Ezuri Crypter: Ancaman Malware untuk Pengguna Windows dan Linux Bebas Pemeriksaan AntiVirus

Malware-Ezuri-Paling-Berbahaya
Photo: Malware Ezuri (AT&T Allien Labs)

Local-Hunter.com - Ancaman siber baru-baru ini menggunakan malware Ezuri yang dibuat dari bahasa pemrograman Golang berbasis open-source, malware yang satu ini adalah pengembangan yang dilanjutkan oleh kelompok peretas jahat untuk menghindari pendeteksian anti virus.

Payload memory loader Ezuri bertindak sebagai malware yang menjalankan di sistem memori tanpa menulis file ke disk. Teknik ini sangat populer untuk menginfeksi sistem operasi Windows. Namun, Ezuri diyakini juga bisa menginfeksi lingkungan pengguna Linux.

Loader Ezuri mendeskripsikan malware berbahaya dan menjalankan dengan menggunakan perintah memfd create. Saat membuat proses tersebut, sistem akan mengembalikan deskriptor file ke file anonim yang beralamatkan di /proc/PID/fd yang hanya bisa terlihat di sistem file.

Laporan ini telah dimuat oleh peneliti keamanan dari Cybersecurity AT&T Allien Labs yang mengatakan bahwa loader ini murni ditulis dari Golang yang diambil secara gratis alias open-source yang ditemukan di halaman Github dari pengguna yang bernama guitmz.

Pembuat pertama dari Ezuri diketahui menjalankan loader binary ELF berbasis Linux pada tahun 2019, yang mana loader itu mengeksekusi memori dari sistem mesin target. Kode malware ini dibagikan secara gratis di Github. Sebelumnya ada juga pengguna Github yang bernama TMZ yang di duga masih berkaitan dengan guitmz memposting Ezuri di forum peretas.

Guitmz selaku pembuat dari malware Ezuri menjalankan tes langsung dan melakukan pemeriksaan di situs VirusTotal untuk membuktikan bahwa semua kode di dalamnya sulit di deteksi oleh anti virus ternama. Selain itu, Guitmz juga membandingkan antara sample Linux.Cephei dan Ezuri mana yang lebih muktahir untuk membypass anti virus.

Berikut sample hasil pemeriksaan situs VirusTotal:
Saat menjalankan kode Ezuri, meminta pengguna untuk melakukan enkripsi pada payload yang bersamaan dengan kata sandi untuk menyembunyikan kode berbahaya  di dalam loader dan setidaknya langkah ini untuk membypass pendeteksian berbagai macam antivirus terkenal. Kemudian, pengemas akan mengkompilasi payload yang sudah di enkripsi sebelumnya. Selanjutnya, peretas dapat melakukan deskripsi dan mengeksekusi pada memori sistem milik korban.

Photo: Main Function Executable (AT&T Alien Labs)

Peneliti malware Ofer Caspi dan Fernando Martinez dari AT&T Allien Labs mencatat muatan yang di enkripsi dengan AES. Kode berbahaya ini diteruskan ke fungsi runFromMemory sebagai argumen yang akan tereksekusi tanpa meletakkan file malware di sistem yang terinfeksi karena payload Ezuri sudah disembunyikan dan sulit terdeteksi.

Ancaman Siber dari TeamTNT

AT&T Alien Labs mengidentifikasi adanya penggunaan malware Ezuri untuk melakukan kejahatan siber yang memanfaatkan kecanggihan serta dapat menghindari pendeteksian anti virus terpopuler. Pertama kali yang diketahui oleh peneliti berasal dari TeamTNT.

TeamTNT sendiri merupakan grup peretas paling berbahaya yang telah aktif sejak April 2020, laporan pertama kali ditemukan oleh Trend Micro. Fokus penyerangan TeamTNT adalah menargetkan sistem Docker tanpa adanya konfigurasi serta manajemen API yang tidak terlindungi dengan baik dan dibiarkan terbuka begitu saja. Kemudian kelompok ini akan melakukan penginstalan bot DDoS dan cryptominers dari sistem yang sudah terinfeksi.

Palo Alto Networks Unit42 juga mengidentifikasi varian terbaru dari malware cryptomining yang diduga digunakan oleh TeamTNT yang dikenal sebagai "Black-T". Hal unik yang ditemukan oleh Unit42 adalah beberapa string diketahui menggunakan bahasa Jerman.

Posting Komentar

0 Komentar