TechforID – Peneliti keamanan siber dari Check Point Research (CPR) menyoroti aksi malware ZLoader yang digunakan untuk mendistribusikan ransomware Conti beberapa bulan lalu.
Untuk informasi, malware ZLoader merupakan muatan terakhir yang memiliki tujuan utamanya mencuri data sensitif, bukan untuk mengenkripsi perangkat.
Menurut CPR, korban menginstal program manajemen jarak jauh, berpura-pura menjadi instalasi Java. Padahal, memberikan penyerang akses penuh ke sistem dan memungkinkan mengunggah dan mengunduh file, serta menjalankan skrip.
Penyerang kemudian mengunggah dan menjalankan beberapa skrip. Setelah itu mengunduh lebih banyak skrip dengan menjalankan mshta.exe dengan file appContrast.dll sebagai parameter”.
File appContrast.dll ditandatangani oleh Microsoft, meskipun lebih banyak informasi telah ditambahkan ke akhir file.
CPR mengatakan, informasi tambahan ini yang mengunduh dan menjalankan payloader ZLoad terakhir yang mencuri kata sandi dan data sensitif lainnya.
Baca juga: Kaspersky Sebut Ancaman dari Malware Trojan Dropper
Menurut CPR, ZLoader telah diinstal lebih dari 2.000 perangkat di 111 negara, mayoritas korban berada di Amerika Serikat, Kanada dan India.
MalSmoke dipercaya sebagai kelompok di balik aksi kriminal itu, mengingat adanya beberapa kesamaan dengan aksi-aksi kejahatan sebelumnya.
“Kami pertama kali mulai melihat bukti aksi mereka baru sekitar November 2021,” kata Peneliti Malware di Check Point Research, Kobi Eisenkraft.
Penulis kampanye Zloader berusaha keras untuk menghindari pertahanan dan memperbarui metode setiap minggu.
“Saya sangat mendesak pengguna untuk menerapkan pembaruan Microsoft untuk verifikasi Authenticode yang ketat karena verifikasi ini tidak diterapkan secara default,” ucap Eisenkraft.
Selain menerapkan pembaruan Microsoft untuk verifikasi Authenticode yang ketat, Check Point Research mengingatkan untuk berhati-hati saat menginstal program dari sumber atau situs yang tidak dikenal.
Selain itu, berhati-hatilah saat mengklik tautan atau membuka lampiran email, karena ini sering kali berbahaya.
Baca artikel selanjutnya: