Waspadai Versi Terbaru Jupyter Infostealer dengan Taktik Stealth Canggih
Cyberthreat.id – Kini sudah muncul lagi malware pencuri informasi yang dikenal sebagai Jupyter versi terbaru. Terjadi beberapa perubahan yang “sederhana” namun memiliki dampak yang bertujuan membangun pijakan yang kuat pada sistem yang disusupi.
“Tim telah menemukan gelombang baru serangan Jupyter Infostealer yang memanfaatkan modifikasi perintah PowerShell dan tanda tangan kunci pribadi dalam upaya untuk menyamarkan malware sebagai file yang ditandatangani secara sah,” kata peneliti VMware Carbon Black dalam laporan yang dibagikan kepada The Hacker News.
Jupyter Infostealer, juga dikenal sebagai Polazert, SolarMarker, dan Yellow Cockatoo, memiliki rekam jejak dalam memanfaatkan taktik manipulasi optimasi mesin pencari (SEO) dan malvertising sebagai vektor akses awal untuk mengelabui pengguna yang mencari perangkat lunak populer agar mengunduhnya dari situs web yang meragukan.
Hadir dengan kemampuan untuk mengambil kredensial serta membangun komunikasi perintah-dan-kontrol (C2) terenkripsi, Jupyter Infostealer mengekstrak data dan menjalankan perintah sewenang-wenang.
Kumpulan artefak terbaru menggunakan berbagai sertifikat untuk menandatangani malware guna memberi mereka lapisan legitimasi, hanya agar penginstal palsu mengaktifkan rantai infeksi saat diluncurkan.
Penginstal dirancang untuk memanggil muatan sementara yang, pada gilirannya, menggunakan PowerShell untuk terhubung ke server jarak jauh dan pada akhirnya memecahkan kode dan meluncurkan malware pencuri.
Perkembangan ini terjadi ketika malware pencuri yang ditawarkan untuk dijual pada kejahatan dunia maya bawah tanah terus berkembang dengan taktik dan teknik baru, yang secara efektif menurunkan hambatan masuk bagi pelaku yang kurang berketerampilan.
Ini termasuk pembaruan pada Lumma Stealer, yang kini menyertakan loader dan kemampuan untuk menghasilkan build secara acak untuk meningkatkan kebingungan.
“Hal ini mengubah malware dari tipe pencuri menjadi malware yang lebih licik yang dapat memuat serangan tahap kedua pada korbannya,” kata VMware. “Loader menyediakan cara bagi pelaku ancaman untuk meningkatkan serangannya mulai dari pencurian data hingga menginfeksi korbannya dengan ransomware.”
Keluarga malware pencuri lainnya yang terus mengalami peningkatan adalah Mystic Stealer, yang juga menambahkan fungsi pemuat dalam versi terbaru untuk melengkapi kemampuan mencuri informasinya.
“Kode ini terus berkembang dan memperluas kemampuan pencurian data dan komunikasi jaringan diperbarui dari protokol berbasis TCP biner khusus menjadi protokol berbasis HTTP,” kata Zscaler dalam laporannya akhir bulan lalu.
“Modifikasi baru ini telah meningkatkan popularitas dengan pelaku ancaman kriminal yang memanfaatkan fungsi pemuatnya untuk mendistribusikan keluarga malware tambahan termasuk RedLine, DarkGate, dan GCleaner.”
Sifat malware yang terus berkembang semakin terlihat dengan munculnya pencuri dan trojan akses jarak jauh seperti Akira Stealer dan Millenium RAT, yang dilengkapi dengan berbagai fitur untuk memfasilitasi pencurian data.
Pengungkapan ini juga terjadi ketika pemuat malware seperti PrivateLoader dan Amadey diamati menginfeksi ribuan perangkat dengan botnet proxy yang dijuluki Socks5Systemz, yang telah ada sejak 2016.
Perusahaan keamanan siber Bitsight, yang mengungkapkan rincian layanan tersebut minggu lalu, mengatakan pihaknya mengidentifikasi setidaknya 53 server yang terkait dengan botnet yang didistribusikan di Prancis, Bulgaria, Belanda, dan Swedia.
Tujuan akhir dari kampanye ini adalah untuk mengubah mesin yang terinfeksi menjadi proxy yang mampu meneruskan lalu lintas ke aktor lain, sah atau tidak, sebagai lapisan anonimitas tambahan.
Diduga pelaku ancaman berasal dari Rusia, mengingat kurangnya kasus infeksi di negara tersebut.
“Layanan proxy memungkinkan klien untuk memilih langganan mulai dari $1 USD hingga $4,000 USD, dibayar penuh menggunakan mata uang kripto,” kata Bitsight.
Berdasarkan analisis telemetri jaringan, diperkirakan botnet ini memiliki sekitar 10.000 sistem yang terinfeksi dengan korban tersebar di seluruh dunia.[]
