Kelompok Peretas Menargetkan Agen Perjalanan dan Keuangan Dengan Malware Janicab
illustrasi
Cyberthreat.id – Perusahaan keamanan siber ESET mengungkapkan bahwa kelompok penyedia layanan peretasan yang dijuluki Evilnum menargetkan agen perjalanan dan lembaga keuangan di Timur Tengah dan Eropa.
Dikutip dari The Hacker News, serangan tersebut, yang terjadi selama tahun 2020 dan 2021 dan kemungkinan terjadi pada tahun 2015, melibatkan varian baru dari malware yang disebut Janicab yang memanfaatkan sejumlah layanan publik seperti WordPress dan YouTube sebagai penyelesaian masalah.
ESET mengatakan infeksi Janicab terdiri dari beragam korban yang berlokasi di Mesir, Georgia, Arab Saudi, UEA, dan Inggris. Perkembangan ini menandai pertama kalinya organisasi hukum di Arab Saudi menjadi sasaran kelompok ini.
Malware ini juga dilacak sebagai DeathStalker, aktor ancaman ini diketahui menyebarkan pintu belakang seperti Janicab, Evilnum, Powersing, dan PowerPepper untuk mengekstraksi informasi rahasia perusahaan.
"Ketertarikan mereka dalam mengumpulkan informasi bisnis yang sensitif membuat kami percaya bahwa DeathStalker adalah sekelompok tentara bayaran yang menawarkan layanan peretasan, atau bertindak sebagai semacam perantara informasi di lingkaran keuangan," kata perusahaan keamanan siber Rusia pada Agustus 2020.
Menurut ESET, kru peretasan memiliki pola memanen presentasi internal perusahaan, lisensi perangkat lunak, kredensial email, dan dokumen yang berisi daftar pelanggan, investasi, dan operasi perdagangan.
Awal tahun ini, Zscaler dan Proofpoint menemukan serangan baru yang diatur oleh Evilnum yang telah diarahkan terhadap perusahaan-perusahaan vertikal crypto dan fintech sejak akhir 2021. Sementara itu, analisis Kaspersky tentang intrusi DeathStalker telah mengungkapkan penggunaan dropper berbasis LNK yang disematkan di dalam arsip ZIP untuk akses awal melalui serangan spear-phishing.
Peneliti mengatakan, versi yang lebih baru dari malware modular secara bersamaan menghapus fitur perekaman audio dan menambahkan modul keylogger yang tumpang tindih dengan serangan Powersing sebelumnya. Fungsi lainnya termasuk memeriksa produk antivirus yang terinstal dan mendapatkan daftar proses yang mengindikasikan analisis malware.
Serangan yang dilakukan tahun 2021 juga terkenal karena menggunakan tautan YouTube lama yang tidak terdaftar yang digunakan untuk menghosting string yang disandikan yang diuraikan oleh Janicab untuk mengekstrak alamat IP perintah-dan-kontrol (C2) untuk mengambil perintah lanjutan dan mengekstraksi data. Temuan ini menggarisbawahi bahwa pelaku ancaman terus memperbarui perangkat malware untuk menjaga kerahasiaan dalam jangka waktu yang lama.
"Karena pelaku ancaman menggunakan tautan YouTube lama yang tidak terdaftar, kemungkinan menemukan tautan yang relevan di YouTube hampir nol, ini juga secara efektif memungkinkan pelaku ancaman untuk menggunakan kembali infrastruktur C2,"
