Sektor Kesehatan Australia Jadi Target Serangan Malware Gootkit
illustrasi
Cyberthreat.id – Peneliti keamanan dari Trend Micro, menemukan kampanye serangan malware Gootkit baru-baru ini telah menargetkan sektor kesehatan Australia dengan memanfaatkan alat yang sah seperti VLC Media Player.
Gootkit, juga disebut Gootloader, dikenal menggunakan taktik peracunan optimisasi mesin pencari (SEO) (alias spamdexing) untuk akses awal. Ini biasanya bekerja dengan mengorbankan dan menyalahgunakan infrastruktur yang sah dan menyemai situs tersebut dengan kata kunci umum.
Seperti malware sejenis lainnya, Gootkit mampu mencuri data dari browser, melakukan serangan musuh di browser (AitB), keylogging, mengambil tangkapan layar, dan tindakan berbahaya lainnya.
Dikutip dari The Hacker News, dalam laporan terbaru Trend Micro mengungkapkan bahwa kata kunci seperti "hospital," "health," "medical," dan “enterprise agreement”, telah dipasangkan dengan berbagai nama kota di Australia, menandai perluasan malware di luar firma akuntansi dan hukum.
Titik awal serangan dunia maya adalah untuk mengarahkan pengguna yang mencari kata kunci yang sama ke blog WordPress yang terinfeksi yang menipu mereka untuk mengunduh file ZIP yang mengandung malware.
“Setelah mengakses situs, pengguna disajikan dengan layar yang telah dibuat agar terlihat seperti forum yang sah, pengguna dituntun untuk mengakses tautan sehingga file ZIP berbahaya dapat diunduh,” kata Trend Micro.
Terlebih lagi, kode JavaScript yang digunakan untuk melakukan tipuan ini disuntikkan ke dalam file JavaScript yang valid di bagian acak di situs web yang dilanggar.
Arsip ZIP yang diunduh, untuk bagiannya, juga berisi file JavaScript yang, setelah dieksekusi, tidak hanya menggunakan kebingungan untuk menghindari analisis, tetapi selanjutnya digunakan untuk menetapkan persistensi pada mesin melalui tugas terjadwal.
Rantai eksekusi selanjutnya mengarah ke skrip PowerShell yang dirancang untuk mengambil file dari server jarak jauh untuk aktivitas pasca-eksploitasi, yang dimulai hanya setelah masa tunggu yang berkisar dari beberapa jam hingga dua hari.
“Latensi ini, yang dengan jelas memisahkan tahap infeksi awal dari tahap kedua, merupakan ciri khas dari pengoperasian loader Gootkit,” kata para peneliti.
Setelah waktu tunggu berlalu, dua muatan tambahan dijatuhkan - msdtc.exe dan libvlc.dll - yang sebelumnya adalah biner VLC Media Player yang sah yang digunakan untuk memuat komponen DLL Cobalt Strike, diikuti dengan mengunduh lebih banyak alat untuk memfasilitasi penemuan.
