Ara-Gen - AZORult menjadi salah satu perangkat lunak jahat (malware) pencuri yang dominan dalam kasus kebocoran data sepanjang tahun lalu.
Di Indonesia, sebanyak 11.617 akun online yang terdampak AZORult pada tahun lalu, menurut Laporan Hasil Monitoring Pusat Operasi Keamanan Siber Nasional Badan Siber dan Sandi Negara (BSSN) 2020.
Dari temuan Kaspersky pada 2018, AZORult memang sejak dulu menargetkan pengguna di Indonesia. Kaspersky mencatat Indonesia masuk 10 negara teratas yang menjadi target Trojan AZORult. Deteksi distribusi tersebut diperoleh Kaspersky antara pada 12 Desember 2017 hingga 12 Desember 2018.
AZORult dikenal sebagai pencuri informasi history browser, cookies, ID/password banking, kartu kredit hingga mata uang kripto.
Malware tersebut diduga berasal dari salah satu negara pecahan Uni Soviet. Pertama kali ditemukan pada Juli 2016 oleh perusahaan keamanan siber asal AS, Proofpoint. Kala itu AZORult menjadi muatan tambahan dari Trojan Chthonic. Pada tahun itu malware masih berfungsi sebagai pencuri informasi saja.
Pada Oktober 2018 jenis baru AZORult muncul sebagai “loader” atau pembawa malware lainnya. Operator malware juga memperbarui cara untuk mengenkripsi data sebelum mengirimkannya melalui server buatan peretas (command and control/C2).
AZORult versi 3.3 tersebut dijual bebas pada pasar gelap Rusia dengan kisaran harga US$ 100 (Rp1,4 juta). Malware ini dapat dengan mudahnya digunakan tanpa keahlian khusus. Bisa dibeli oleh siapa saja, lalu tinggal menjalankannya.
Tak hanya menambah fitur untuk sebagai loader, operator malware juga menambahkan fitur terbaru seperti mengambil tangkapan layar, mengumpulkan dari riwayat/log obrolan Jabber, Skype dan layanan serupa lainnya. Karena fitur terbarunya itu, AZORult dapat menyebabkan masalah privasi dan kerugian finansial yang signifikan.
Ransomware
AZORult umumnya disebarkan melalui spam email, exploit kit. Exploit Kit, menurut perusahaan keamanan siber asal Jepang, Trend Micro.
Pada Desember 2018, Proofpoint menemukan AZORult dipakai peretas untuk memasang versi ransomware “GandCrab”. Sama halnya dengan Vidar Stealer, yang juga membawa ransomware GandCrab.
Trojan AZORult pun tak hanya membawa ransomware GandCrab, tetapi juga mengangkut ransomware “STOP” ke mesin korban. Pada saat itu, peretas di balik AZORult menargetkan ribuan orang di seluruh Amerika Serikat yang berkedok penipuan pemerasan seksual (sextortion).
Dalam email sextortion itu, peretas menyisipkan video yang diklaim adalah video tidak senonoh korban yang sebenarnya hanyalah jebakan peretas untuk menginfeksi korban dengan AZORult.
Peretas yang menjalankan malware AZORult memang memiliki trik dalam menginfeksi korbannya dengan mengirimkan email phishing atau exploit kit dengan lampiran atau file berbahaya. Selain email berkedok sextortion, ada juga email berkedok invoice palsu, dokumen pemesan produk atau dokumen tagihan pembayaran palsu yang dipakai peretas untuk membujuk targetnya untuk membuka file berbahaya itu.
Penyebaran email spam mempromosikan lampiran berbahaya dalam dokumen Microsoft Office. File berbahaya itu mendorong pengguna untuk mengaktifkan perintah makro. Makro ini mengotomatisasi tugas untuk menghemat waktu penekanan tombol dan tindakan mouse.
Namun, beberapa makro bisa menimbulkan potensi risiko keamanan. Orang dengan niat jahat bisa menyisipkan makro perusak dalam file yang bisa menyebarkan virus pada komputer Anda atau ke dalam jaringan organisasi Anda.
Untuk itu, menonaktifkan makro ini memungkinkan semua makro yang tidak dipercaya akan memunculkan notifikasi atau pemberitahuan peringatan keamanan yang berujung pada permintaan “Aktifkan Konten” atau “Aktifkan Pengeditan”. Artinya, dengan menonaktifkan makro, Anda dapat lebih terhindar dari makro yang jahat. Microsoft pun merekomendasikan untuk tidak mengaktifkan semua makro, karena bisa saja dijalankan oleh kode berbahaya.
Dengan kata lain, malware pun akan dieksekusi ketika korban membuka file lampiran dari email phishing atau mengunduh file dari situs web yang telah disusupi malware.
Nanti, malware berjalan secara otomatis ketika komputer di-restart dan ketika itu terjadi, malware melakukan pencurian informasi kredensial korban dan mengirimkannya ke server C2. Malware ini juga mampu membuat koneksi melalui Remote Desktop Protocol (RDP) atau akses jarak jauh.
Protokol RDP ini merupakan fungsi menarik dari AZORult. Malware dapat membuka port untuk membuat sambungan jarak jauh ke desktop dan akhirnya komputer yang terinfeksi siap menerima sambungan RDP yang masuk. Setelah koneksi berhasil dibuat, peretas tersambung ke komputer yang terinfeksi dan mengambil kendali penuh atas komputer dari jarak jauh.
Sementara itu, teknik yang digunakan peretas AZORult, menurut perusahaan keamanan siber Minerva, memiliki kesamaan dengan teknik yang digunakan di masa lalu oleh kelompok APT seperti MuddyWater, tetapi sejauh ini belum ada bukti yang menghubungkan sampel AZORult dengan teknik MuddyWater.
Teknik yang dimaksud Minerva terkait adanya file eksekusi yang berkedok file GoogleUpdate.exe, yang mana menggantikan Google Updater yang sah di C:\Program Files\Google\Update\GoogleUpdate.exe. Minerva mengatakan itu membantu program jahat berjalan dengan hak akses administratif dan memungkinkannya untuk membuat mekanisme persistensi yang tersembunyi.
Sebagai hasil dari mengganti file GoogleUpdate.exe asli, Minerva mengatakan malware berjalan dengan hak administratif setiap kali pembaruan dimulai.
“Ini memungkinkan malware mendapatkan persistensi yang sulit untuk diketahui, karena tugas dan layanan tidak mencurigakan,” kata Minerva pada akhir Januari 2019.
Berkedok installer VPN
Pada 2020, AZORult menjadi ancaman untuk mencuri data, menambang mata uang kripto jenis Monero.
Tak hanya itu, awal 2020 AZORult ditemukan oleh Kaspersky disebar oleh operatornya sebagai penginstal (installer) aplikasi jaringan virtual pribadi (VPN) ProtonVPN. Dari situs web palsu Proton VPN itulah peretas menyisipkan malware pencuri data.
Di kala pandemi Covid-19 tahun lalu AZORult juga menyebar melalui situs web palsu tentang penyebaran virus corona. Situs web ini juga untuk mencuri informasi termasuk nama pengguna, kata sandi, nomor kartu kredit dan data lain yang disimpan di browser pengguna.
Baru-baru ini, menurut BankInfoSecurity, peneliti keamanan siber Jannis Kirschner juga mengungkapkan AZORult didistribusikan oleh peretas melalui aplikasi desktop Telegram palsu dan terindeks oleh mesin pencari Google.
Dalam laporan terbaru BlackBerry bertajuk “2021 Threat Report Blackberry” disebutkan, AZORult bekerja sama dengan ransomware “Zeppelin”. Zeppelin bertugas sebagai pengenkripsi sistem dan menginstal AZORult untuk mencuri kredensial, file, dan data lainnya.
Bagaimana cara terhindar dari malware ini? Menurut BSSN, pengguna disarankan untuk menginstal perangkat lunak antivirus. Lakukan pemindaian untuk mendeteksi apakah ada aktivitas mencurigakan pada komputer.
Kemudian, disarankan agar tidak membuka email dan file attachment dari alamat email yang tidak dikenal untuk mencegah infeksi malware.
Terakhir, direkomendasikan agar tidak mengunjungi situs web rentan terinfeksi malware.
Posting Komentar