Malware Dridex, Si Pencuri Informasi Perbankan
Ilustrasi via Internet Security
Cyberthreat.id - Liburan akhir tahun 2020 kemarin operator malware Dridex menggencarkan aksinya melalui pesan spam yang mencatut perusahaan e-commerce Amazon.
Dridex ini dikenal sebagai Trojan perbankan yang mampu mencuri informasi tertentu khususnya kredensial yang berhubungan dengan perbankan. Dridex ini merupakan evolusi dari malware Cridex yang didasarkan pada malware ZeuS Trojan Horse.
Seperti halnya Dridex, Cridex juga mencuri informasi perbankan. Bedanya, Cridex beroperasi dengan menginfeksi perangkat dan otomatis membuka situs web jahat. Setelah itu, merekam atau mencatat kredensial login yang dimasukkan ke situs web keuangan palsu yang diarahkan oleh Cridex.
Menurut SearchSecurity, Trojan Dridex pertama kali muncul sekitar 2011-2012 yang awalnya menggunakan injeksi web untuk mencuri uang, yang kemudian dipakai Cridex dalam operasinya. Versi kedua dari varian baru Cridex yang diyakini sebagai reinkarnasi Dridex ini muncul pada 2012. Namun, saat versi baru muncul, Cridex atau versi lama berhenti yang kemudian mengisyaratkan bahwa sekelompok orang yang sama berada di balik dua malware ini.
Karena itu, Dridex dikatakan versi baru dari Cridex. Bedanya dengan Cridex, Trojan Dridex melalui kampanye spam email, seperti yang pernah terjadi pada akhir 2014 awal-awalnya menghasilkan lebih dari 15.000 email setiap hari. Pada saat itu email spam yang dikirim operator Trojan Dridex menargetkan komputer yang berlokasi di Inggris Raya.
Pada 28 Agustus 2015, salah satu administrator jaringan Dridex ditangkap. Setelah itu, pada September tahun yang sama, tiga jaringan Dridex mati. Sebulan kemudian aktif lagi dengan enam jaringan tambahan. Pada 2016, operator dibalik Dridex pun membuat malwarenya semakin lebih rumit dan metode enkripsi berubah. Begitu pula pada 2017, versi pembaruan malwarenya juga dikembangkan.
Namun, pada Desember 2019, Biro Investigasi Federal (FBI) mendakwa dua tersangka yang diyakini membuat Trojan Dridex yakni Maksim V. Yakubets dan Igor Turashev, keduanya warga Rusia.
Sumber infeksi Dridex
Trojan memang sering dikenal sebagai pencuri informasi atau kredensial khususnya yang berhubungan dengan perbankan. Berbeda dengan Trojan lain menargetkan ponsel pengguna, Dridex menargetkan pengguna Windows. Itu lantaran Trojan ini memanfaatkan makro di Microsoft Office untuk menginfeksi sistem.
Sekedar informasi, seperti dilansir dari laman Microsoft, makro ini mengotomatisasi tugas yang sering digunakan untuk menghemat waktu penekanan tombol dan tindakan mouse. Namun, beberapa makro bisa menimbulkan potensi risiko keamanan. Orang dengan niat jahat, atau hacker bisa menyisipkan makro perusak dalam file yang bisa menyebarkan virus pada komputer Anda atau ke dalam jaringan organisasi Anda.
Untuk itu, menonaktifkan makro ini memungkinkan semua makro yang tidak dipercaya akan memunculkan notifikasi atau pemberitahuan peringatan keamanan yang berujung pada permintaan “Aktifkan Konten” atau “Aktifkan Pengeditan”. Artinya, dengan menonaktifkan makro Anda dapat lebih terhindar dari makro yang jahat. Microsoft pun merekomendasikan untuk tidak mengaktifkan semua makro, karena bisa saja dijalankan oleh kode berbahaya.
Jika pengguna membuka dokumen yang dikirimkan operator Trojan Dridex melalui email spam, itu kan meminta makro diaktifkan. Jika dilakukan, saat itu pula secara diam-diam malware perbankan Dridex diunduh, yang memungkinkannya mencuri kredensial perbankan dan kemudian memanfaatkannya untuk melakukan transaksi.
Menurut CISA, makro menjangkau server perintah dan kontrol, server FTP atau situs penyimpanan komputasi awan untuk mengunduh malware Dridex yang sebenarnya. Dalam kasus lainnya, makro meluncurkan skrip yang mengekstrak file yang dapat dieksekusi yang tertanam dalam dokumen yang dikirim operator Trojan Dridex. Beberapa lampiran file dokumen yang dikirim operator Dridex pun, kata CISA, menggunakan format file ZIP atau RAR. Terkadang juga file terkompresi dalam file terkompresi zip ganda.
Atribut phising terkait Dridex
Peretas dibalik Dridex menggunakan kampanye email spam phising sebagai cara untuk menginfeksi pertama kali pengguna untuk memicu pengunduhan Dridex. Berbagai kedok email digunakannya. Menurut CISA, pesan phising yang dikirimkan menggunakan kombinasi nama dan domain bisnis yang sah, terminologi profesional, dan bahasa yang menyiratkan adanya desakan untuk membujuk korban agar mengaktifkan lampiran terbuka.
Alamat email pengirim dapat berupa individu (nama@domain.com), administratif (admin@domain.com, support@domain.com), atau yang umumnya menyiratkan "noreply" (noreply@domain.com). Judul subjek dan lampiran dapat mencakup istilah umum seperti "faktur", "pesanan", "pindai", "tanda terima", "catatan debit", "rencana perjalanan", dan lain-lainnya.
Isi pesan yang dibuat peretas Dridex sangat bervariasi. Badan emailnya mungkin tidak berisi teks sama sekali, kecuali yang menyertakan lampiran yang meminta agar penerima email membuka file berbahaya yang dilampirkan peretas. Jika ada tulisan di badan emailnya itu akan menyatakan bahwa isi emailnya telah melewati pemindaian virus atau hanya mengarahkan korban ke tautan atau lampiran. Dalam kasus lainnya, email phising itu berisi pesan yang panjang dan substantif.
Kemampuan Trojan Dridex
Dridex beroperasi dari beberapa modul yang mana dapat menangkap tangkapan layar, bertindak sebagai mesin virtual, atau memasukkan mesin koban ke dalam botnet. Trojan ini juga dapat menggunakan beberapa eksploitasi dan metode eksekusi termasuk modifikasi file direktori, menggunakan pemulihan sistem untuk meningkatkan hak istimewa, modifikasi aturan firewall hingga memungkinkan eksekusi kode jarak jauh.
Setelah diunduh dan aktif, Dridex punya bermacam kemampuan, mulai dari mengunduh perangkat lunak tambahan hingga membuat jaringan virtual dan menghapus file. Namun, ancaman utama dari kemampuannya itu adalah menyusup ke peramban web, mendeteksi akses ke aplikasi dan situs web perbankan online, lalu menyuntikkan malware atau perangkat lunak keylogging hingga mencuri informasi login pelanggan. Dengan kata lain, tak hanya mencoba mencuri informasi, tetapi bisa lebih dari itu seperti membawa malware ke perangkat yang sudah terinfeksi.
Karena target utama adalah informasi perbankan, setelah mendapatkannya maka operator memulai melakukan transfer dana, membuka akun palsu, dan berpotensi memanfaatkannya untuk aksi penipuan lain yang melibatkan akun perbankannya dalam aktivitas peretasan email bisnis (Email Business Compromise/BEC).
Bagaimana mendeteksi infeksi Dridex?
Perangkat lunak antivirus akan sulit mendeteksi Dridex, karena trojan ini mampu melewati deteksi antivirus yang belum memiliki data tanda tangan terkait Dridex ini. Sehingga, Dridex tidak dikenali oleh antivirus. Itulah yang membuat antivirus pun tidak berguna untuk memberitahu pengguna apakah perangkatnya disusupi Dridex ini.
Untuk mendeteksinya, pengguna dapat menggunakan alat yang tidak bekerja pada deteksi ancaman berbasis seperti antivirus. Misalnya, beberapa alat yang menggunakan pembelajaran mesin yang dapat memodelkan lalu lintas jaringan sehingga dapat memahami pola aktivitas normal pengguna. Ini dapat mendeteksi adanya anomali atau lalu lintas tidak biasa. Beberapa perangkat lunak pendeteksi malware dapat berfungsi seperti itu juga untuk mengidentifikasi perilaku yang tidak biasa. Dengan kata lain, bisa menggunakan antimalware untuk mendeteksinya.
Program perangkat lunak seperti Malwarebytes 'Trojan.Dridex' dapat digunakan untuk mendeteksi dan menghapus Dridex. Setelah ditemukan, perangkat lunak akan mengkarantina Dridex untuk menghapusnya. Program antimalware pun kemudian akan meminta pengguna me-reebot (memulai ulang) sistem setelah proses penghapusan malware selesai. Setelah itu, pengguna disarankan mengubah sandi akun perbankan mereka.
Dridex memiliki kemiripan dengan jenis ransomware
CISA mengatakan peretas dibalik malware Dridex ini kemungkinan terkait dengan ransomware karena konfigurasinya serupa. Misalnya, kode untuk ransomware BitPaymer yang dikenal juga sebagai Friedex memiliki banyak kesamaan dengan Dridex, meskipun fungsinya lebih sebagai ransomware daripada ekstraksi data. Namun, kedua malware ini menggunakan mekanisme yang sama untuk beberapa fungsi, dan penulis menyusun kode pada waktu yang hampir bersamaan. Ransomware BitPaymer yang didistribusikan melalui malware ini telah menargetkan lembaga keuangan AS dan mengakibatkan kerugian data dan finansial.
Ada pula ransomware lainnya yang memiliki kemiripan yakni Locky. Ransomware ini beroperasi menggunakan metode pengiriman yang sama untuk pengunduhan dengan baris subjek dan lampiran yang serupa. Peretas juga menggunakan botnet yang sama untuk mengirimkan Dridex dan ransomware Locky, terkadang secara bersamaan.
Bagaimana cara melindungi dari Dridex?
Menurut SearchSecurity, ada beberapa opsi pertahanan atau cara melindungi perangkat dari infeksi Dridex yakni:
1. Hati-hati saat membuka lampiran email dari pengirim yang tidak dikenal
2. Biarkan file yang dikirim dari alamat email yang tidak dikenal dan mencurigakan tidak dibuka
3. Unduh file hanya dari sumber terpercaya
4. Selalu perbarui aplikasi dan peramban web
5. Gunakan perangkat lunak pendeteksi malware yang menggunakan metode lain selain dari deteksi ancaman berbasis tanda tangan
6. Mendidik individu atau karyawan tentang cara mengidentifikasi spam berbahaya []
