Afiliasi LockBit Terlihat Gunakan Malware Amadey Bot Untuk Sebarkan Ransomware

Cyberthreat.id – Peneliti keamanan dari AhnLab mengungkapkan bahwaafiliasi ransomware LockBit 3.0 terlihat menggunakan email phishing yang menginstal Amadey Bot untuk mengendalikan perangkat dan mengenkripsi perangkat.

Dikutip dari Bleeping Computer, peneliti menemukan pelaku ancaman menargetkan perusahaan yang menggunakan email phishing dengan umpan yang berpura-pura menjadi tawaran lamaran pekerjaan atau pemberitahuan pelanggaran hak cipta.

“Payload LockBit 3.0 yang digunakan dalam serangan ini diunduh sebagai skrip PowerShell yang dikaburkan atau bentuk yang dapat dieksekusi, berjalan di host untuk mengenkripsi file,” ungkap peneliti dalam laporan terbarunya.

Peneliti menjelaskan, malware madey Bot adalah jenis lama yang mampu melakukan pengintaian sistem, eksfiltrasi data, dan pemuatan muatan. Peneliti sendiri sudah mulai memperhatikan peningkatan aktivitas Amadey Bot pada tahun 2022 dan melaporkan menemukan versi baru malware pada bulan Juli, dijatuhkan melalui SmokeLoader.

Versi terbaru menambahkan deteksi antivirus dan kemampuan penghindaran otomatis, membuat intrusi dan menjatuhkan muatan lebih tersembunyi. Bahkan, dalam kampanye Juli, Amadey menjatuhkan berbagai malware pencuri informasi, seperti RedLine, tetapi kampanye yang lebih baru memuat muatan LockBit 3.0 sebagai gantinya.

Peneliti juga melihat dua rantai distribusi yang berbeda, satu mengandalkan makro VBA di dalam dokumen Word dan satu menyamarkan executable berbahaya sebagai file Word. Dalam kasus pertama, pengguna harus mengklik tombol "Aktifkan Konten" untuk menjalankan makro, yang membuat file LNK dan menyimpannya ke "C:\Users\Public\skem.lnk". File ini adalah pengunduh untuk Amadey.

Kasus kedua, terlihat pada akhir Oktober, menggunakan lampiran email dengan file bernama "Resume.exe" (Amadey) yang menggunakan ikon dokumen Word, menipu penerima agar mengklik dua kali.

“Kedua jalur distribusi menyebabkan infeksi Amadey yang menggunakan alamat perintah dan kontrol (C2) yang sama, jadi aman untuk menganggap operatornya sama,” kata peneliti.

Pada peluncuran pertama, malware menyalin dirinya sendiri ke direktori TEMP dan membuat tugas terjadwal untuk menetapkan kegigihan antara reboot sistem. Selanjutnya, Amadey terhubung ke C2, mengirim laporan profil host, dan kemudian menunggu penerimaan perintah. Tiga kemungkinan perintah dari server C2 memerintahkan pengunduhan dan eksekusi LockBit, dalam bentuk PowerShell ('cc.ps1' atau 'dd.ps1'), atau bentuk exe ('LBB.exe').

“Dari sana, LockBit mengenkripsi file pengguna dan menghasilkan catatan tebusan yang menuntut pembayaran, mengancam akan mempublikasikan file curian di situs pemerasan grup,” kata peneliti.

Sebagai informasi, pada September 2022, AnhLab mengamati dua metode distribusi LockBit 3.0 lainnya, satu menggunakan dokumen DOTM dengan makro VBA berbahaya dan satu menjatuhkan file ZIP yang berisi malware dalam format NSIS.

Sebelumnya, pada Juni 2022, LockBit 2.0 terlihat didistribusikan melalui email pelanggaran hak cipta palsu yang menjatuhkan penginstal NSIS, jadi semuanya tampaknya merupakan evolusi dari kampanye yang sama.