Widget HTML Atas

PT. RONAR INDONESIA
Beranda / Resources

Serangan Malware ke Ribuan PC di China

Serbuan Malware bootnet ke PC di China


Perusahaan keamanan China Qihoo 360 Netlab mengatakan pihaknya bermitra dengan raksasa teknologi Baidu untuk mengganggu botnet malware yang menginfeksi lebih dari ratusan ribu sistem.
Botnet itu ditelusuri kembali ke sebuah kelompok yang disebutnya ShuangQiang (juga disebut Double Gun), yang telah berada di belakang beberapa serangan sejak 2017 yang bertujuan mengkompromikan komputer Windows dengan MBR dan VBR bootkits, dan menginstal driver jahat untuk keuntungan finansial dan membajak lalu lintas web ke Situs komersial.

Selain menggunakan gambar yang diunggah ke Baidu Tieba untuk mendistribusikan file konfigurasi dan malware - sebuah teknik yang disebut steganografi - kelompok tersebut telah mulai menggunakan penyimpanan Alibaba Cloud untuk meng-host file konfigurasi dan platform analisis Baidu, Tongji untuk mengelola aktivitas host yang terinfeksi, kata para peneliti.

Kompromi awal bergantung pada memikat pengguna yang tidak curiga untuk menginstal perangkat lunak peluncuran game dari portal game samar yang berisi kode berbahaya di bawah kedok tambalan.

Setelah pengguna mengunduh dan menginstal tambalan, ia mengakses informasi konfigurasi yang disebutkan di atas untuk mengunduh program terpisah bernama "cs.dll" dari Baidu Tieba yang disimpan sebagai file gambar.

Pada tahap selanjutnya, "cs.dll" tidak hanya membuat ID bot dan melaporkannya kembali ke server yang dikendalikan penyerang, tetapi juga menyuntikkan driver kedua yang membajak proses sistem (misalnya, lassas.exe dan svchost.exe) di untuk mengunduh muatan tahap berikutnya untuk memajukan motif grup.
 
Peneliti Qihoo juga merinci rantai infeksi kedua di mana perangkat lunak klien game diubah dengan perpustakaan jahat (versi modifikasi photobase.dll), menggunakan metode yang disebut pembajakan DLL untuk melepaskan dan memuat driver jahat sebelum memuat modul yang sah.

Perusahaan mengatakan menjangkau tim keamanan Baidu pada 14 Mei dan mereka bersama-sama mengambil tindakan untuk mencegah penyebaran botnet lebih lanjut dengan memblokir semua unduhan dari URL yang terlibat.

"Selama operasi bersama ini, melalui analisis, berbagi, dan respons informasi ancaman, kami telah membentuk pemahaman yang lebih baik tentang sarana teknis, logika, dan aturan geng Double Gun," kata Baidu.

https://thehackernews .com/2020/05/chinese-botnet-malware.html?m=1
PT. RONAR INDONESIA