Peneliti keamanan menemukan kampanye malspam yang mendistribusikan muatan LokiBot menggunakan pesan phishing yang menargetkan karyawan perusahaan besar AS.

Malware yang didistribusikan oleh serangan phishing yang terdeteksi pada 21 Agustus disusun pada tanggal yang sama dengan yang ditemukan oleh peneliti dengan Tim FortiGuard SE.

Ketika mereka mengamati, para penyerang bukanlah penutur asli bahasa Inggris berdasarkan pada isi dari email-email spam yang datang dengan lampiran yang dirancang untuk terlihat sebagai permintaan mendesak untuk kutip dan dijuluki oleh pengirim sebagai “atase.”

“Email spam memikat pengguna untuk membuka lampiran karena rekan kerja pengirim saat ini sedang tidak berada di kantor, dan pada saat yang sama menawarkan jaminan kepada korban potensial bahwa ia dapat memberikan klarifikasi lebih lanjut dari isi dalam dokumen jika diperlukan , ” tutur para peneliti.

Sample phishing email
Sample phishing email

Penyebaran Payload LokiBot

Namun, setelah target membuka arsip yang dilampirkan, mereka akan terinfeksi dengan malware lokibot untuk mencuri informasi, sebuah strain yang diketahui telah diiklankan dan dijual di berbagai situs underground.

Setelah berhasil mengkompromikan komputer korbannya, LokiBot dirancang untuk memanen sebanyak mungkin informasi sensitif yang kemudian dikirimkan ke server command and control (C2) operatornya sebagai bagian dari permintaan HTTP POST.

“LokiBot mencuri berbagai kredensial – terutama kredensial FTP, kata sandi email yang disimpan, kata sandi yang disimpan di browser, serta sejumlah besar kredensial lainnya,” tambah para peneliti.

Sementara sampel yang dikirim oleh kampanye malspam 21 Agustus disamarkan sebagai game executable Dora The Explorer, LokiBot diketahui telah dikirim sebelumnya sebagai dokumen Microsoft Office yang penuh dengan makro jahat atau melalui dokumen RTF yang dibuat untuk mengeksploitasi kelemahan seperti CVE-2017 -11882 kerentanan eksekusi kode jarak jauh.

Apps targeted by LokiBot
Apps targeted by LokiBot

Baca Juga : Email Phishing Ini Menyerupai Pemberitahuan Penghapusan File di Office 365

The German Bakery juga Terkena Serangan LokiBot Phishing

Alamat IP yang digunakan untuk mengirimkan email phishing  berbahaya ini dengan dua serangan serupa lainnya yang diamati Tim FortiGuard SE, dengan salah satu dari mereka menargetkan toko roti Jerman dengan email spam dalam bahasa Cina pada 17 Juni.

Berdasarkan perbedaan bahasa dan jenis  serangan yang terlihat ketika menganalisis tiga serangan menggunakan IP ini, para peneliti menganggap bahwa itu digunakan sebagai relay spam “yang dapat digunakan secara membabi buta atau dalam serangan yang ditargetkan dengan LokiBot atau beberapa malware tidak dikenal lainnya.”

Juga, mengingat jumlah pesan spam yang dikirim menggunakan relai yang baru diidentifikasi ini, server yang menggunakan alamat ini “mungkin berada di bawah kendali satu kelompok, dan mungkin hanya digunakan untuk serangan yang sangat tepat sasaran,” tambah Tim SE FortiGuard.

Countries targeted by relayed spam
Countries targeted by relayed LokiBot malspam

Sebelumnya, penulis LokiBot terlihat menggunakan steganography ke sebuah varian yang dianalisis oleh Trend Micro minggu lalu, sebuah fitur yang akan menambah  keberagaman baru, serta memungkinkannya untuk menghindari deteksi dan membantunya mendapatkan kepercayaan dari komputer yang terinfeksi.

Pada bulan April, beberapa serangan berbahaya diamati menyembunyikan malware LokiBot dan Nanocore di dalam ISO yang cukup kecil untuk dikirim sebagai lampiran email.

Lebih detail, indicators of compromise (IOC) termasuk hash sampel malware dan domain yang digunakan dalam serangan, serta ringkasan ATT & CK TTP tersedia di akhir analisis Tim SE FortiGuard tentang serangan phishing LokiBot.


Like it? Share with your friends!

Abdul Latif

Comments

error: Content is protected !!