Menguak DanaBot Trojan Perbankan Menggunakan Faktur HTML Standar Myob

DanaBot trojan banking yang baru-baru ini ditemukan membuat putaran dalam kampanye phishing yang menargetkan korban potensial dengan faktur palsu dari perusahaan perangkat lunak MYOB. Selain Trojan banking meniru tampilan aplikasi utama bank.

Myob adalah program aplikasi akuntansi yang digunakan untuk mengotomatisasikan pembukuan secara lengkap, cepat dan akurat. software komputer akuntansi yang sekarang banyak digunakan oleh perusahaan di Indonesia dalam rangka meningkatkan efisiensi dan efektivitas dalam menghasilkan laporan keuangan.

Email-email tersebut mengaku sebagai faktur dari MYOB, sebuah perusahaan multinasional Australia yang menyediakan pajak, akuntansi, dan perangkat lunak layanan bisnis lainnya untuk UKM. Namun dalam kenyataannya, missives berisi file pipet yang mengunduh trojan perbankan DanaBot, yang setelah diunduh mencuri informasi pribadi dan sensitif, dan mengirimkan tangkapan layar sistem dan desktop mesin ke server Command and Control.

"Penjahat dunia maya menargetkan korban di perusahaan Australia dan menginfeksi mereka dengan trojan perbankan multi-tahap, multi-komponen, dan tersembunyi seperti DanaBot untuk mencuri informasi pribadi dan sensitif mereka," kata peneliti Trustwave dalam posting tentang kampanye tersebut, Jumat. “Dalam kampanye ini, penyerang mengirim email phishing yang ditargetkan dalam bentuk pesan faktur MYOB palsu dengan tautan faktur yang mengarah ke server FTP yang dikompromikan yang menghosting malware DanaBot.”

Menurut peneliti Trustwave Fahim Abbasi dan Diana Lopera, kebingungan penipuan email phishing telah terlihat menargetkan pelanggan Australia MYOB. Email phishing menggunakan template faktur html standar MYOB seperti untuk meyakinkan pengguna bahwa mereka nyata; memberi tahu klien bahwa faktur jatuh tempo dan meminta mereka untuk "Lihat Faktur" melalui tombol di bagian bawah email.

Karl Sigler, manajer intelijen ancaman SpiderLabs di Trustwave, mengatakan kepada Threatpost (16/7) bahwa para penjahat kemungkinan membeli atau mungkin menghasilkan daftar sendiri kemungkinan pelanggan MYOB. “Mengingat seberapa banyak informasi yang dibagikan orang-orang secara publik, terutama di jejaring sosial, daftar ini tidak sulit didapat,” katanya. Trustwave tidak memiliki informasi apa pun tentang berapa banyak korban yang secara khusus ditargetkan oleh kampanye.

Menariknya, alih-alih menggunakan protokol lapisan aplikasi HTTP yang lebih umum untuk tautan, email memanfaatkan protokol transfer file (FTP) yang mengarah ke server FTP yang dikompromikan (kebanyakan menggunakan domain Australia).

"Dengan mengklik tombol 'Lihat Faktur' ini, arsip zip ditarik dari yang kami yakini sebagai server FTP yang dikompromikan dari perusahaan Australia," kata para peneliti. “Kredensial FTP disediakan di tautan FTP yang disematkan di tombol‘ Tampilkan Faktur ’.”

Sigler mengatakan kepada Threatpost bahwa penggunaan FTP adalah "pilihan aneh" dan bukan sesuatu yang biasanya dilihat oleh peneliti. "Sepertinya para kriminal mengkompromikan server FTP perusahaan Australia dan menggunakannya untuk menyebarkan malware," katanya. "Itu mungkin hanya masalah kenyamanan dan menggunakan apa yang tersedia untuk mereka saat itu."

Dari server FTP, arsip .Zip diunduh. Terkandung di dalam arsip .Zip adalah pengunduh JavaScript yang ketika dieksekusi mengunduh trojan DanaBot.

DanaBot, Trojan Banking

DanaBot adalah trojan perbankan yang ditemukan pada bulan Mei yang menargetkan pengguna di Australia melalui email yang berisi URL jahat. Trojan, pertama kali ditemukan oleh para peneliti Proofpoint , telah menjadi salah satu perkembangan cybercrime terbesar pada 2018, sejauh ini.

Di Maret lalu berdasarkan penelitian dari Avast terhadap 40.000 konsumen di Spanyol dan sebelas negara lain di seluruh dunia, kalangan nasabah bank yang menggunakan aplikasi mobile banking memiliki risiko lebih besar untuk ditipu oleh penjahat siber, dan menjadi korban pencurian data pribadi dengan Trojan perbankan.

Pihak Avast pun sendiri telah mendeteksi sejumlah trojan mobile banking dalam beberapa bulan terakhir sehubungan dengan ancaman privasi dan keamanan yang meningkat. Bank-bank yang ditargetkan oleh penjahat dunia maya dan di bawah sorotan survei ini termasuk Citibank, Wells Fargo, Santander, HSBC, ING, Chase, Bank of Scotland dan Sberbank.

"DanaBot adalah contoh terbaru dari malware yang berfokus pada ketekunan dan mencuri informasi yang berguna yang nantinya dapat dimonetisasi daripada meminta tebusan langsung dari korban," kata peneliti Proofpoint pada saat itu tentang trojan. "Sifat modular DanaBot memungkinkannya untuk mengunduh komponen tambahan, meningkatkan fleksibilitas dan kemampuan mencuri dan pemantauan jarak jauh yang kuat dari bankir ini."

Dalam kampanye terbaru ini, malware DanaBot pertama-tama menjatuhkan file pengunduh ke disk dan mengeksekusinya. Pengunduh kemudian mengunduh Master DLL (pustaka tautan dinamis, yang berisi kode dan data yang dapat digunakan oleh lebih dari satu program secara bersamaan).

Setelah diunduh, master DanaBot DLL kemudian mengunduh dan mendekripsi file terenkripsi yang berisi berbagai modul dan file konfigurasi. Modul DLL termasuk VNC, pencuri, sniffer dan TOR: "Nama file DLL yang diambil dari file terenkripsi mengungkapkan maksud sebenarnya dari para penyerang," kata para peneliti. "Pada dasarnya, DLL ini memungkinkan penyerang untuk membuat dan mengontrol host jarak jauh melalui VNC, mencuri informasi private dan sensitif dan menggunakan saluran rahasia melalui Tor."

Sementara itu, lima file konfigurasi (PInject, BitKey, BitVideo, BitFilesX dan Zfilter) akan mengatur dengan fungsi mereka sendiri. "File-file ini digunakan oleh malware sebagai referensi untuk apa yang harus dicari pada mesin korban," kata Sigler kepada Threatpost.

Itu termasuk PInject, yang berisi file konfigurasi injeksi web di mana targetnya adalah bank Australia. BitKey dan BitVideo adalah dua file konfigurasi lain yang berisi daftar proses cryptocurrency yang akan dipantau oleh bot. BitFilesX berisi daftar file cryptocurrency yang akan dipantau oleh bot. Akhirnya, Zfilter mencari proses yang harus dimonitor oleh malware untuk mengendus jaringan.

Para peneliti juga mencatat bahwa malware DanaBot tampaknya dihosting di domain yang telah dikonfigurasi dengan "round robin DNS" yang menggunakan beberapa IP untuk merotasi lalu lintas dan mengarahkan mereka ke infrastruktur yang dikontrol oleh penyerang.

"Infrastruktur yang mendukung malware dirancang untuk menjadi fleksibel sementara malware dirancang untuk menjadi modular dengan fungsi yang tersebar di beberapa komponen yang sangat terenkripsi," para peneliti memperingatkan.

Share this post