Waspadai Penyebaran Phishing Canggih Agent Tesla, OriginBotnet, dan RedLine Clipper

Cyberthreat.id - Kampanye phishing yang canggih menggunakan umpan dokumen Microsoft Word untuk mendistribusikan trifecta ancaman, yaitu Agent Tesla, OriginBotnet, dan RedLine Clipper, untuk mengumpulkan berbagai informasi dari mesin Windows yang disusupi.

“Email phishing mengirimkan dokumen Word sebagai lampiran, menampilkan gambar yang sengaja diburamkan dan reCAPTCHA palsu untuk memikat penerima agar mengkliknya,” kata peneliti Fortinet FortiGuard Labs, Cara Lin, kepada The Hacker News.

Mengklik gambar akan mengantarkan loader dari server jarak jauh yang, pada gilirannya, dirancang untuk mendistribusikan OriginBotnet untuk keylogging dan pemulihan kata sandi, RedLine Clipper untuk pencurian mata uang kripto, dan Agent Tesla untuk mengumpulkan informasi sensitif.

Pemuat, yang ditulis dalam .NET, menggunakan teknik yang disebut padding biner dengan menambahkan byte nol untuk meningkatkan ukuran file hingga 400 MB dalam upaya menghindari deteksi oleh perangkat lunak keamanan.

Aktivasi pemuat memicu proses multi-tahap untuk membangun persistensi pada host dan mengekstrak perpustakaan tautan dinamis (DLL) yang bertanggung jawab untuk melepaskan muatan akhir.

Salah satunya adalah RedLine Clipper, sebuah .NET yang dapat dieksekusi untuk mencuri mata uang kripto dengan merusak clipboard sistem pengguna untuk mengganti alamat dompet tujuan dengan alamat yang dikendalikan penyerang.

"Untuk melakukan operasi ini, RedLine Clipper menggunakan 'OnClipboardChangeEventHandler' untuk memantau perubahan clipboard secara rutin dan memverifikasi apakah string yang disalin sesuai dengan ekspresi reguler," kata Lin.

Agent Tesla, di sisi lain, adalah trojan akses jarak jauh (RAT) berbasis .NET dan pencuri data untuk mendapatkan akses awal dan menyaring informasi sensitif seperti penekanan tombol dan kredensial login yang digunakan di browser web ke perintah-dan-kontrol (C2 ) server melalui protokol SMTP.

Juga dikirimkan adalah malware baru yang dijuluki OriginBotnet, yang dikemas dalam berbagai fitur untuk mengumpulkan data, menjalin komunikasi dengan server C2, dan mengunduh plugin tambahan dari server untuk menjalankan fungsi keylogging atau pemulihan kata sandi pada titik akhir yang disusupi.

“Plugin PasswordRecovery mengambil dan mengatur kredensial berbagai akun browser dan perangkat lunak,” kata Lin. "Ini mencatat hasil ini dan melaporkannya melalui permintaan HTTP POST."

Perlu dicatat bahwa Palo Alto Networks Unit 42, pada bulan September 2022, merinci penerus Agen Tesla yang disebut OriginLogger, yang hadir dengan fitur serupa dengan OriginBotnet, yang menunjukkan bahwa keduanya bisa jadi merupakan karya dari pelaku ancaman yang sama.

“Kampanye serangan siber ini […] melibatkan rangkaian peristiwa yang kompleks,” kata Fortinet.

“Serangan ini dimulai dengan dokumen Word berbahaya yang didistribusikan melalui email phishing, menyebabkan korban mengunduh loader yang mengeksekusi serangkaian muatan malware.”

“Serangan tersebut menunjukkan teknik canggih untuk menghindari deteksi dan mempertahankan persistensi pada sistem yang disusupi.”[]