Sistem Militer Delta Milik Ukraina Jadi Target Malware Stealer
illustrasi
Cyberthreat.id – Tim Tanggap Darurat Komputer Ukraina, CERT-UA, mengungkapkan pihaknya menemukan kampanye malware yang menargetkan sistem militer Ukraina, DELTA. Akun email Kementerian Pertahanan Ukraina yang disusupi ditemukan mengirim email phishing dan pesan instan ke pengguna.
DELTA adalah sistem pengumpulan dan manajemen intelijen yang dibuat oleh Ukraina dengan bantuan sekutunya untuk membantu militer melacak pergerakan pasukan musuh. Sistem ini memberikan informasi real-time yang komprehensif dengan integrasi tingkat tinggi dari berbagai sumber pada peta digital yang dapat berjalan di perangkat elektronik apa pun, dari laptop hingga smartphone.
Dikutip dari Bleeping sebagai bagian dari kampanye ini, pelaku ancaman menggunakan email atau pesan instan dengan peringatan palsu bahwa pengguna perlu memperbarui sertifikat 'Delta' untuk terus menggunakan sistem dengan aman.
Email jahat tersebut berisi dokumen PDF yang konon berisi petunjuk pemasangan sertifikat, yang menyertakan tautan untuk mengunduh arsip ZIP bernama "certificates_rootCA.zip". Arsip tersebut berisi file yang dapat dieksekusi yang ditandatangani secara digital bernama "certificates_rootCA.exe", yang saat diluncurkan akan membuat beberapa file DLL pada sistem korban dan meluncurkan "ais.exe", yang mensimulasikan proses penginstalan sertifikat.
“Langkah ini meyakinkan korban bahwa prosesnya sah dan mengurangi kemungkinan mereka menyadari bahwa mereka telah dilanggar,” kata CERT-UA.
CERT-UA menjelaskan, File EXE dan DLL dilindungi oleh VMProtect, perangkat lunak resmi yang digunakan untuk membungkus file dalam mesin virtual mandiri, mengenkripsi kontennya, dan membuat analisis atau deteksi AV menjadi tidak mungkin. DLL yang dijatuhkan, "FileInfo.dll" dan "procsys.dll," adalah malware, yang diidentifikasi oleh CERT-UA sebagai 'FateGrab' dan 'StealDeal.'
FateGrab adalah pencuri file FTP yang menargetkan dokumen dan email dari format file berikut: '.txt', '.rtf', '.xls', '.xlsx', '.ods', '.cmd', '.pdf', '.vbs', '.ps1', '.one', '.kdb', '.kdbx', '.doc', '.docx', '.odt', '.eml', '.msg' , '.surel’. sedangkan StealDeal adalah malware pencuri informasi yang dapat, antara lain, mencuri data penjelajahan internet dan kata sandi yang disimpan di browser web.
Hingga kini, CERT-UA tidak dapat menghubungkan operasi di atas dengan pelaku ancaman yang diketahui.
