Malware DanaBot Kembali Muncul di Situs Download Bajakan

Malware-DanaBot-Adobe-Photoshop

Local-Hunter.com - Peneliti keamanan siber ProofPoint menemukan munculnya malware DanaBot dengan taktik baru yang menargetkan dunia perbankan dan individu. Sebelumnya, ProofPoint juga pernah mengidentifikasi malware ini di tahun 2018.

DanaBot merupakan salah satu varian trojan banking yang mana sudah digunakan pada bulan Mei 2018 hingga Juni 2020. Distribusi malware DanaBot menargetkan sejumlah lembaga keuangan maupun individu untuk mencuri informasi sensitif dan negara yang pernah menjadi sasarannya adalah Amerika Serikat, Inggris, Australia, Jerman, Kanada, Italia, Polandia, Mexico dan Ukraina.

"Setelah Juni 2020, ada penurunan tajam dalam aktivitas DanaBot di data Proofpoint dan di repositori intel ancaman publik (misalnya MalwareBazaar dan #DanaBot). Itu menghilang dari lanskap ancaman tanpa sebab yang jelas." kata ProofPoint dalam analisis yang ia jelaskan.

Peneliti keamanan siber ProofPoint menemukan indikasi kebangkitan dari DanaBot yang muncul di situs VirusTotal. Ada dua ID affliasi yang menggunakan versi terbaru, meskipun tidak seheboh dulu tampaknya sudah mulai bergerak untuk menginfeksi kembali.

Taktik Serangan

Seperti pada umumnya, malware DanaBot biasa ditemukan di situs download bajakan atau crack yang menawarkan unduhan gratis seperti game, editor foto, program anti-virus, VPN dan file dokumen. ProofPoint juga menemukan adanya malware selain DanaBot pada satu website bajakan tersebut.

Sample malware tersebut di kompress menggunakan zip yang berisi satu folder dan tiga file ekstensi TXT yang masing-masing diberi nama sebagai Readme_First, licensing, dan PASSWORD. Sementara malware tersebut diberi nama sebagai setup_x86_x64_install.exe untuk mengelabui korban yang telah mengunduhnya. Gambar di bawah ini adalah lalu lintas ketika korban telah menjalankan program setup_x86_x64_install.exe.

Photo: Lalu lintas traffik (ProofPoint)

Alur Lalu Lintas Malware DanaBot

  • Dua permintaan melalui situs berbahaya yaitu hxxp://eressedn27[.]top/index.php dan hxxp://morttttq12[.]top/index.php.
  • Dilanjutkan dengan permintaan mengunduh dari situs dowhhaa07[.]top yang berisi program lv.exe
  • Tahap akhir yaitu akan membuka situs dengan IP 45.147.230.58 yang berisi malware DanaBot yang diberi nama sebagai palata.exe

Dampak Serangan Malware DanaBot

Laporan yang dirilis peneliti keamanan ProofPoint mengutarakan bahwa malware DanaBot bersembunyi di dalam software bajakan yang dapat di unduh secara gratis dengan iming-iming license key.

Ketika program .exe telah dijalankan, semua permintaan darinya akan mengumpulkan informasi browser yang menyimpan akun bank seperti username, password dan cookie baik itu browser Chrome, Brave, Vivaldi, Opera ataupun Firefox. Tidak hanya itu, informasi sistem operasi seperti bahasa, waktu lokal, username, CPU, RAM, vdeo card, display resolusi dan software yang telah dipasang di komputer. ProofPoint juga mengungkapkan bahwa malware DanaBot juga memiliki kemampuan untuk menangkap objek layar (screenshot) pada desktop.

Adapun informasi lain yang dicuri penjahat siber termasuk akun dompet digital seperti Ledger, Waves-Exchange, Electrum, Electron Cash, Exodus, Jaxx, Atomic dan MultiBitHD.

Kesimpulan

Kebanyakan malware saat ini hinggap di situs download yang mengatasnamakan dirinya "Unduhan Gratis" dan isi folder yang dikompres terdiri dari beberapa ekstensi termasuk program exe berbahaya. Tidak hanya satu atau dua malware, melainkan ada banyak yang bisa dijumpai. ProofPoint juga menyarankan untuk tidak mengunduh software bajakan yang belum tentu kebenaran dari seluruh isi folder tersebut.

Posting Komentar

0 Komentar