Peretas mencuri cryptocurrency dari dompet Monero para korban menggunakan malware hebat yang masuk lewat crack perangkat lunak populer.
Crack telah ada sejak munculnya perangkat lunak komersial.
Mudah digunakan dan tersedia secara luas pada sharing website khusus.
Aplikasi ini memungkinkan orang melewati perlindungan komersial dalam software dan menggunakan aplikasi tanpa membayarnya.
Namun, selain implikasi hukum dari penggunaan software yang tidak resmi, risiko keamanan cyber sangat serius.
Analis Bitdefender baru-baru ini menemukan serangkaian serangan yang memanfaatkan alat kantor dan cracks software edit gambar, yang ternyata dapat membahayakan endpoint, yaitu dengan membajak cryptocurrency serta mengekstrak informasi melalui jaringan TOR.
Setelah dijalankan, crack software akan meninggalkan file seperti ncat.exe (alat resmi untuk mengirim data mentah melalui jaringan) serta proxy TOR.
Selain itu, berikut ini merupakan contoh file proxy Netcat dan TOR pada disk, yaitu “%syswow64%\nap.exe” atau “%syswow64%\ndc.exe” dan “%syswow64\tarsrv.exe”.
Selanjutnya pada file batch, “%syswow64%\chknap.bat” (untuk nap.exe) dan “%syswow64%\nddcf.cmd” (untuk ndc.exe) file ini berisi baris perintah untuk komponen Ncat yang berputar melalui port 8000 hingga 9000 pada domain .onion.
Tools tersebut berfungsi untuk menciptakan backdoor kuat yang berkomunikasi melalui TOR dengan pusat komando dan kontrolnya, yaitu biner ncat menggunakan port pendengar dari proxy TOR (`–proxy 127.0.0.1: 9075`) dan menggunakan standar “–exec” parameter
Crack software tersebut menciptakan mekanisme persistensi pada file proxy TOR dan biner Ncat di mesin dengan layanan dan tugas terjadwal yang masing-masing akan berjalan setiap 45 menit.
Bitdefender melakukan investigasi dan mengemukakan bahwa kemungkinan besar backdoor digunakan secara interaktif oleh operator manusia daripada mengirimkan permintaan otomatis kepada para korban.
Beberapa tindakan yang kami amati, yaitu:
Eksfiltrasi file. Ncat dapat menerima file lokal untuk dikirim melalui TOR ke pusat komando dan kendali.
- Eksekusi klien BitTorrent. Kami yakin penyerang menggunakan klien BitTorrent untuk mengekstrak data.
- Mematikan firewall untuk persiapan eksfiltrasi data.
- Pencurian data profil browser Firefox (riwayat, kredensial, dan cookie sesi). Sebelum eksfiltrasi, penyerang mengarsipkan folder profil dengan 7zip untuk menghasilkan satu file yang berisi semuanya.
- Pencurian dompet Monero melalui klien CLI yang sah ‘monero-wallet-cli.exe’.
Daftar tindakan ini tidak lengkap karena penyerang memiliki kendali penuh atas sistem dan dapat menyesuaikan kampanye berdasarkan minat mereka saat ini.
Apakah Kita Masih Menggunakan Crack Software?
Memang Bitdefender Gravityzone memiliki fitur tambahan Patch Management untuk Windows maupun Mac, tapi jika perangkat lunak yang dipasang ternyata bajakan, percuma juga menggunakan fitur ini.
Patch Management bisa melakukan update otomotis untuk perangkat lunak kita melalui situs resmi dari masing – masing aplikasi yang kita gunakan.
Recent Comments