Kecanggihan teknologi yang saat ini kita rasakan berbanding lurus dengan berbagai ancaman. Malware, virus dan berbagai ancaman dengan nama dan jenis lain selalu berevolusi mencari celah untuk mengekstraksi data, menginfiltrasi sistem dan bahkan merusak aset dari perusahaan Anda. Salah satu malware yang akan kita bahas saat ini bernama Collector Stealer. Ketahui cara kerja dan berbagai analisa Collector-stealer dari tim Advanced Threat Research Center of Excellence, OCTO dari F5.
Collector-stealer adalah malware asal Rusia yang banyak digunakan di Internet untuk mengekstrak data sensitif dari sistem pengguna akhir dan menyimpannya di panel C&C. Untuk membantu industri menjaga aset dari ancaman ini, Aditya K Sood dan Rohit Chaturvedi dari Advanced Threat Research Center of Excellence di dalam Kantor CTO F5 menyajikan analisis 360 dari malware Collector-stealer untuk menggali artefak tersembunyi yang mencakup analisis biner, cara kerjanya , dan desain panel C&C terkait.
Collector-stealer menjadi masif dalam waktu yang relatif singkat. Informasi curian yang dihasilkan dari malware umumnya tersedia melalui underground market untuk tujuan jahat. Penyerang Collector-stealer menargetkan negara-negara Eropa sebagai target utama, tetapi dampaknya juga dirasakan pengguna dari negara lain seperti A.S., China, dan Kamboja.
Berikut adalah beberapa highlights dan karakteristik menarik dari Collector-stealer yang terungkap melalui analisis Aditya K Sood dan Rohit Chaturvedi dari Advanced Threat Research Center of Excellence:
- Collector-stealer menggunakan beberapa cara untuk memulai infeksi, termasuk:
- Memikat pengguna untuk mengunjungi portal phishing yang menampung unduhan game gratis
- Paket perangkat lunak aktivasi / crack Windows
- Portal web miner (portal web yang meniru konten serupa dari portal penyedia perangkat lunak cryptocurrency untuk memicu serangan unduhan drive-by)
- Collector-stealer ditulis dalam C++ dan menginfeksi mesin pengguna untuk tujuan mencuri data penting seperti kata sandi yang disimpan, data web, cookie, tangkapan layar, dan banyak lagi. Pembuat malware menggunakan teknik obfuscation dalam kode mereka untuk membuat peneliti frustrasi dan membuat kode lebih rumit.
- Collector-stealer, sebelum mengirim data ke server C&C, memeriksa konektivitas internet di mesin korban dengan melakukan ping ke alamat IP Cloudflare DNS resolver 1.1.1.1. Jika permintaan ping gagal, mereka akan menghapus yang dapat dieksekusi bersama dengan data yang dikumpulkan dari mesin korban dan kemudian keluar secara diam-diam. Jika tidak, ia akan mengirimkan data yang dikumpulkan ke server C&C.
- Collector-stealer menggunakan protokol HTTP dan metode POST untuk mengirim data yang dikumpulkan. Sebelum mengirim data, malware memampatkan data menjadi file .zip arsip yang kemudian dikirim ke server C&C.
Collector-stealer mendapatkan popularitas di forum underground karena fitur malware yang luas. Kami telah melihat banyak pengguna menunjukkan minat untuk membeli malware ini dan beberapa kelompok bahkan telah mencoba untuk menyediakan versi yang sudah di-crack. Grup Rusia “Hack_Jopi” telah menjual Collector-stealer di forum sejak Oktober 2018.
Anda dapat mendapatkan informasi lengkap mengenai malware ini dengan membaca hasil laporan Aditya K Sood dan Rohit Chaturvedi mengenai Collector-stealer dengan klik di sini.
Apabila Anda membutuhkan sistem keamanan sistem dan data yang bisa melindungi aset perusahaan, Anda dapat menghubungi kami di qfirewall.id. Kami menyediakan firewall terlengkap dengan harga terbaik untuk Anda. Selain itu, kami juga dapat memberikan jasa instalasi hingga SOC dari Dewaguard.
qfirewall hadir untuk memberi perlindungan sistem yang menyeluruh untuk perusahaan dan aset Anda. Silakan hubungi kami untuk mendapatkan informasi lengkap lainnya.
Artikel ini diterjemahkan dari sini.