“Di belakang MosaicLoader, penyerang menciptakan malware yang dapat mengirimkan muatan apa pun pada sistem, berpotensi tinggi dan menguntungkan sebagai layanan pengiriman,” kata peneliti Bitdefender.
“Malware akan menyamar sebagai cracked installers, kemudian mengunduh malware yand dapat menyebar pada daftar URL dari server C2 dan mengunduh muatan dari tautan yang diterima.”
Malware ini dinamai demikian karena struktur internalnya yang canggih dan dirancang untuk mencegah rekayasa balik dan menghindari deteksi, serta analisis.
Serangan MosaicLoader mengandalkan taktik jitu untuk pengiriman malware yang disebut Search Engine Optimization (SEO).
SEO adalah tempat di mana penjahat dunia maya membeli slot iklan pada hasil search engine atau mesin pencari untuk meningkatkan tautan berbahaya mereka sebagai hasil teratas ketika pengguna mencari istilah yang terkait dengan software bajakan.
Setelah infeksi berhasil, akan diawali dengan Delphi yang menyamar sebagai penginstal software dan bertindak sebagai titik masuk untuk mengambil muatan tahap berikutnya dari remote server.
Delphi juga menambahkan pengecualian lokal di Windows Defender untuk dua executable yang diunduh dalam upaya untuk menggagalkan pemindaian antivirus dan menghindari deteksi.
Perlu ditunjukkan bahwa pengecualian Windows Defender tersebut dapat ditemukan di kunci registri yang tercantum di bawah ini:
- Pengecualian file dan folder – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
- Pengecualian jenis file – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
- Pengecualian proses – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
Salah satu binaries “appsetup.exe” dirancang untuk tidak mudah rusak pada sistem, sedangkan executable kedua, “prun.exe” berfungsi sebagai pengunduh untuk modul penyemprot yang dapat mengambil dan menyebarkan berbagai ancaman dari daftar URL; mulai dari pencuri cookie hingga penambang cryptocurrency, sampai implan yang lebih canggih seperti Glupteba.
“prun.exe” juga terkenal karena rentetan teknik obfuscation dan anti-reverse yang melibatkan pemisahan potongan kode dengan byte pengisi acak.
Dengan aliran eksekusi yang dirancang untuk “melompati bagian-bagian ini dan hanya mengeksekusi potongan-potongan kecil yang bermakna.”
Mengingat kemampuan MosaicLoader yang luas, sistem yang disusupi dapat terkooptasi ke dalam botnet yang kemudian dapat dieksploitasi oleh pelaku ancaman untuk menyebarkan beberapa software perusak canggih yang terus berkembang. baik tersedia untuk umum; maupun malware yang disesuaikan berfungsi untuk mendapatkan, memperluas dan memelihara akses tidak sah ke komputer dan jaringan korban.
“Cara terbaik untuk mempertahankan diri dari MosaicLoader adalah dengan menghindari mengunduh software yang diretas dari sumber mana pun,” kata para peneliti.
“Selain melanggar hukum, penjahat dunia maya berupaya menargetkan dan mengeksploitasi pengguna yang mencari software ilegal,” maka dari itu penting sekali untuk “memeriksa domain sumber dari setiap unduhan untuk memastikan bahwa file tersebut sah/resmi.”
Bitdefender memiliki Patch Management di mana kita bisa mengupdate software kita tepat di domain yang sah.
Patch Management menyiapkan sistem operasi, aplikasi software dan memberikan tampilan komprehensif tentang status patch untuk endpoint kita.
Patch Management juga sudah mencakup beberapa fitur, seperti pemindaian patch sesuai permintaan/terjadwal, patch otomatis/manual dan pelaporan patch yang hilang.
Keuntungan yang akan kita dapatkan di Bitdefender Patch Management
- Keamanan dan kepatuhan, Proses patch otomatis dan efisien, semuanya ada di satu konsol manajemen
- Dapat memastikan kelangsungan bisnis, efisiensi dan kepatuhan, jarak jauh atau di tempat dengan tidak membiarkan software yang tidak dikirim atau kerentanan (diketahui) menjadi faktor kunci gangguan
- Mengurangi risiko terhadap serangan lanjutan dan memberikan kepatuhan patch OS dan aplikasi telah menjadi prioritas tinggi bagi tim IT
- Menyediakan proses patch otomatis dan efisien secara otomatis patch, di tempat atau jarak jauh dan satu sumber patch tunggal untuk Windows juga aplikasi pihak ketiga.
Recent Comments