Malware Baru Lucifer Intai Pengguna Windows, Bisa Menambang Uang Kripto dan Rekrut Botnet

Cyberthreat.id - Peneliti Unit 42 dari Palo Alto menemukan varian baru malware cryptojacking yang disebut Lucifer. Menargetkan celah keamanan pada Windows, malware ini bisa menjadikan komputer korban sebagai inang untuk diam-diam menambang uang kripto Monero dan merekrut Botnet untuk melancarkan serangan distributed denial of services (DDoS).   

Dikutip dari Security Week, Lucifer pertama kali diamati oleh para peneliti pada 29 Mei lalu, dengan gelombang pertama serangan yang berhenti pada 10 Juni. Namun serangan gelombang kedua kembali berlanjut  pada 11 Juni, dengan kemampuan varian yang sudah diperbaharui. Hingga saat ini serangan yang dilakukan oleh Lucifer masih terus berlanjut.

Dikutip dari blog milik Palo Alto, Lucifer dirancang tidak hanya untuk meletakkan XMRig untuk cryptojacking Monero saja. Namun, Lucifer juga mampu menjalankan operasi perintah dan kontrol (C2) dan propagasi sendiri melalui eksploitasi berbagai kerentanan dan kredensial brute-force.

Selain itu, Lucifer juga mampu meletakkan dan menjalankan backdoor EternalBlue, EternalRomance, dan DoublePulsar terhadap target rentan untuk menginfeksi jaringan intranet.

Peneliti juga menyebutkan Lucifer menargetkan kerentanan kritis dalam perangkat lunak seperti Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel, dan Windows.

Sedangkan, cacat keamanan yang ditargetkan adalah CVE-2014-6287, CVE-2018-1000861, CVE-2017-10271, CVE-2018-20062, CVE-2018-7600, CVE-2017-9791, CVE-2019-9081, PHPS dengan Backdoor RCE, CVE-2017-0144, CVE-2017-0145, dan CVE-2017-8464.

"Dalam hal ini, targetnya adalah host Windows di internet dan intranet, mengingat penyerang memanfaatkan utilitas certutil dalam muatan untuk propagasi malware."

Eksploitasi bug ini akan memberi penyerang kemampuan untuk mengeksekusi kode pada mesin target. Meskipun pembaruan perangkat lunak untuk mengatasi masalah ini telah tersedia, sangat penting  untuk menjaga sistem tetap up-to-date jika memungkinkan, menghilangkan kredensial yang lemah, dan memiliki pertahanan berlapis.

Lucifer berisi tiga bagian sumber daya, yang masing-masing berisi biner untuk tujuan tertentu. Bagian sumber daya X86 berisi versi X86 XMRig 5.5.0 yang dikemas dengan UPX. Bagian sumber daya X64 berisi versi X64 XMRig 5.5.0 yang dikemas dengan UPX. Bagian SMB berisi biner, di mana ada banyak eksploitasi Grup Persamaan seperti EternalBlue dan EternalRomance, dan backdoor dari DoublePulsar.

Untuk propagasi, malware ini akan memindai kedua port TCP terbuka 135 (RPC) dan 1433 (MSSQL) terhadap target, baik itu internal maupun eksternal, dan menyelidiki kelemahan kredensial dalam upaya untuk mendapatkan akses yang tidak sah.

Jika target membuka port RPC, malware akan memaksa login menggunakan administrator nama pengguna default dan daftar kata sandi yang tertanam. Lalu, menyalin dan menjalankan binary malware pada host jarak jauh setelah otentikasi berhasil.

Ketika malware mendeteksi port TCP 1433 target terbuka, ia mencoba memaksakan masuk menggunakan daftar nama pengguna dan kata sandi yang tertanam. Setelah berhasil masuk, malware akan mengeluarkan perintah shell untuk mengunduh dan menjalankan replika dirinya pada komputer korban.

Selain memaksa kredensial, malware memanfaatkan eksploitasi untuk propagasi diri. Untuk infeksi intranet, ia menjatuhkan dan menjalankan backdoor EternalBlue, EternalRomance, dan DoublePulsar terhadap target ketika target memiliki port TCP 445 (SMB) terbuka. Setelah eksploitasi berhasil, certutil digunakan untuk menyebarkan malware.

Para peneliti menyimpulkan, Lucifer adalah hibrida baru dari varian malware cryptojacking dan DDoS yang memanfaatkan kerentanan lama untuk menyebar dan melakukan aktivitas berbahaya pada platform Windows.

Perangkat lunak yang rentan termasuk Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, framework Laravel, dan Microsoft Windows.

"Menerapkan pembaruan dan tambalan untuk perangkat lunak yang terpengaruh sangat disarankan. Kata sandi yang kuat juga dianjurkan untuk mencegah serangan."[]

Editor: Yuswardi A. Suud