Microsoft Memperingatkan Malware MCCrash Menargetkan Windows dan Linux
illustrasi
Cyberthreat.id – Microsoft Threat Intelligence mengungkapkan botnet malware lintas platform baru bernama 'MCCrash' menginfeksi perangkat Windows, Linux, dan IoT untuk melakukan serangan denial of service terdistribusi di server Minecraft.
“Analisis kami tentang botnet DDoS mengungkapkan fungsionalitas yang dirancang khusus untuk menargetkan server pribadi Minecraft Java menggunakan paket yang dibuat, kemungkinan besar sebagai layanan yang dijual di forum atau situs darknet,” ungkap Microsoft sesuai yang dikutip dari Bleeping Computer.
Saat ini, sebagian besar perangkat yang terinfeksi oleh MCCrash berlokasi di Rusia, namun ada juga korban di Meksiko, Italia, India, Kazakhstan, dan Singapura. Server Minecraft sering menjadi sasaran serangan DDoS, baik untuk membuat pemain berduka di server atau sebagai bagian dari permintaan pemerasan.
Microsoft mengatakan bahwa perangkat awalnya terinfeksi MCCrash setelah pengguna menginstal alat aktivator produk Windows palsu dan aktivator lisensi Microsoft Office (alat KMS) trojan. Alat cracking berisi kode PowerShell berbahaya yang mengunduh file bernama 'svchosts.exe', yang meluncurkan 'malicious.py', muatan botnet utama.MCCrash kemudian mencoba menyebar ke perangkat lain di jaringan dengan melakukan serangan SSH brute-force pada perangkat IoT dan Linux.
"Botnet menyebar dengan menghitung kredensial default pada perangkat yang mendukung Secure Shell (SSH) yang terpapar internet, karena perangkat IoT biasanya diaktifkan untuk konfigurasi jarak jauh dengan pengaturan yang berpotensi tidak aman, perangkat ini dapat berisiko terkena serangan seperti botnet ini,” kata Microsoft.
Microsoft menjelaskan, File Python berbahaya dapat berjalan di lingkungan Windows dan Linux. Setelah peluncuran pertama, ia membuat saluran komunikasi TCP dengan C2 melalui port 4676 dan mengirimkan informasi host dasar, seperti sistem yang dijalankannya. Di Windows, MCCrash menetapkan persistensi dengan menambahkan nilai Registri ke kunci "Software\Microsoft\Windows\CurrentVersion\Run", dengan nilai yang dapat dieksekusi.
Botnet menerima perintah terenkripsi dari server C2 berdasarkan jenis OS yang diidentifikasi dalam komunikasi awal. C2 kemudian akan mengirimkan salah satu dari perintah berikut kembali ke perangkat MCCrash yang terinfeksi untuk dijalankan:
Sebagian besar perintah di atas berspesialisasi dalam serangan DDoS di server Minecraft, dengan 'ATTACK_MCCRASH' menjadi yang paling terkenal karena menggunakan metode baru untuk merusak server target. Menurut Microsoft, pelaku ancaman menciptakan botnet untuk menargetkan server Minecraft versi 1.12.2, tetapi semua versi server dari 1.7.2 hingga 1.18.2 juga rentan terhadap serangan.
Versi 1.19, dirilis pada tahun 2022, tidak terpengaruh oleh penerapan perintah ATTACK_MCCRASH, ATTACK_[MCBOT|MINE], dan ATTACK_MCDATA saat ini. Namun, sejumlah besar server Minecraft berjalan pada versi lama, sebagian besar berada di Amerika Serikat, Jerman, dan Prancis.
“Kemampuan unik dari ancaman ini untuk memanfaatkan perangkat IoT yang seringkali tidak dipantau sebagai bagian dari botnet secara substansial meningkatkan dampaknya dan mengurangi kemungkinan terdeteksi,” tutup Microsoft.
