ACEH - Akhir-akhir ini aplikasi perpesanan instan Telegram palsu tersebar luas di Internet. Jika Anda belum memilikinya, sebaiknya tidak tergoda untuk mencoba mengunduh aplikasi ini.
Berdasarkan laporan peneliti keamanan siber Minerva Labs, ada orang yang telah mendistribusikan dua file dalam satu unduhan untuk malware yang dijuluki Purple Fox. Uniknya, malware ini mampu menghindari deteksi antivirus dengan memisahkan serangan menjadi potongan-potongan kecil yang terbang di bawah radar.
BACA JUGA:
-
| TEKNOLOGI
Penipuan Baru Menggunakan Aplikasi Palsu Skype untuk Menarget Pengguna Kripto di China
14 November 2023, 11:05
Bahaya Telegram Palsu dengan Purple Fox
Purple Fox berhasil menghindari pendeteksian berbagai produk antivirus, seperti Avira, ESET, Kaspersky, McAfee, Panda, Trend Micro, Symantec, dan banyak lagi.
“Kami sering mengamati pelaku ancaman menggunakan perangkat lunak yang sah untuk menjatuhkan file berbahaya. Namun kali ini berbeda. Pelaku mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan menjadi beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin antivirus, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox," terang para peneliti.
Perlu dicatat, Minerva Labs mendeteksi pemasang menggunakan skrip AutoIt yang dikompilasi bernama "Telegram Desktop.exe", sedangkan yang sah adalah program AutoIT yang menjalankan pengunduh (TextInputh.exe).
Dikutip VOI dari TechRadar, malware ini pertama-tama akan memindai perangkat, menonaktifkan mekanisme pertahanan apa pun, menginstal beberapa entri registri, dan setelah siap, malware akan memberi sinyal ke server Command and Control (C2), dan pengunduhan malware tahap dua dapat dimulai.
Ketika TextInputh.exe dijalankan, itu akan membuat folder baru ("1640618495") di bawah "C:\Users\Public\Videos\" dan sambungkan ke C2 untuk mengunduh utilitas 7z dan arsip RAR (1.rar).
Arsip RAR itu berisi payload dan file konfigurasi, sedangkan program 7z membongkar semuanya ke folder ProgramData. TextInputh.exe kemudian melakukan beberapa tindakan pada perangkat yang telah terinfeksi.
Beberapa tindakan tersebut adalah salin 360.tct dengan nama “360.dll”, rundll3222.exe, dan svchost.txt ke folder ProgramData, jalankan ojbk.exe dengan baris perintah "ojbk.exe -a", lalu menghapus 1.rar dan 7zz.exe, dan keluar dari proses
Dan kemudian menjatuhkan lima file tambahan ini ke sistem yang terinfeksi, yaitu Calldriver.exe, Driver.sys, dll.dll, kill.bat, speedmem2.hg. Lima file tersebut bertujuan untuk mematikan dan memblokir inisiasi proses perlindungan dari 360 anti-virus dari ruang kernel, sehingga memungkinkan alat serangan tahap berikutnya bisa berjalan tanpa terdeteksi.
“Keindahan serangan ini adalah setiap tahap dipisahkan ke file berbeda yang tidak berguna tanpa seluruh kumpulan file. Ini membantu penyerang melindungi file-nya dari deteksi antivirus," ujar peneliti Minerva Labs.
Setelah memblokir 360 antivirus, malware mengumpulkan daftar informasi sistem, memeriksa untuk melihat apakah daftar panjang alat keamanan berjalan, dan akhirnya mengirimkan semua informasi ke alamat C2 yang di-hardcode.
Apa Itu Purple Fox?
Sebagai informasi, Purple Fox pertama kali muncul tahun 2018. Purple Fox merupakan kampanye malware yang hingga Maret 2021 kemarin memerlukan interaksi pengguna atau semacam alat pihak ketiga untuk menginfeksi mesin Windows.
Minerva Labs mengatakan bahwa mereka sering menemukan sejumlah besar penginstal jahat yang mengirimkan versi rootkit Purple Fox menggunakan rantai serangan yang sama. Tidak sepenuhnya jelas bagaimana itu didistribusikan, meskipun peneliti percaya bahwa beberapa dikirim melalui email, sementara yang lain mungkin diunduh dari situs phishing.
Artikel ini telah tayang dengan judul Hati-hati! Aplikasi Telegram Palsu Berisi Malware Beredar di Internet.
Selain aplikasi Telegram palsu, ikuti berita dalam dan luar negeri lainnya hanya di VOI Aceh.
