Mengenal Malware Adwind Weaponized PDF File

Mengenal Serangan Malware Adwind Weaponized PDF FileHallo jumpa lagi dengan tau banyak, kali ini kami akan membahas mengenai malware pada komputer, kenapa kita bahas ini? karena kita biar lebih berhati-hati saat menggunakan Internet. Apa itu malware? Malware merupakan virus komputer atau program yang dirancang untuk menyusup dan merusak perangkat dan sisitem komputer kita.

Baru-baru ini peneliti menemukan gelombang baru mengenai pishing yang melewati perlindungan APT Microsoft dan mengirimkan sebuah malware Adwind melalui file PDF yang dipersenjatai untuk menyerang jaringan industri utilitas.

Adwind, alias Unrecom, Sockrat, Jsocket dan Jrat merupakan RAT lintas platform yang didistribusikan melalui malware-as-a-service pada pasar bawah tanah dimana pengguna dapat membeli dan memmanfaatkan untuk menargetkan korban.

Pada tahun 2013 hingga saat ini, malware Adwind secara kasar mempengaruhi lebih dari satu juta pengguna diseluruh dunia dan digunakan di berbagai industri seperti Manufaktur, Keuangan, Teknik, Telkomunikasi, Perangkat lunak dan pemerintahan.

Dalam beberapa serangan, Adwind memanfaatkan injeksi kode DDE untuk menginfeksi platform lintas dan dilengkapi dengan kemampuan spyware untuk mencuri data dari korban dan melaporkan kembali ke pembuat malaware melalui server command & control.

Sebelumnya Adwind secara luas menyebar melalui A360 Cloud Drive platform, penyalagunaanini untuk memberikan suntikan Trojan Akses Jarak Jauh dan digunakan sebagai platform Distribusi Malware dengan menggunakan situs file-sharing untuk meng host Malware. Sekenario lain cross-platform Remote Access Torjan “Adwind” mencuri kredensial, rekam dan terus menekan tombol Data Industri Aerospace.

“Adwind” Proses dalam menginfeksi malaware

Tahapan awal infeksi dimulai dengan mendistrisibusikan phising dengan file PDF berbahaya yang terlampir, yang mampu melewati perlindungan Microsoft APT. Penyerangan memanfaatkan akun yang dibajak untuk mengirimkan email phising dan juga penyerangan yang menyalahgunakan domain untuk meng-host malware.

Badan email yang diajukan sebagai dokumen hukum dan meminta pengguna untuk menandatangani dan kembali adalah trik penyerang yang dilakukan pengguna untuk mengeklik file PDF yang terlampir dan otomatis membukanya.

phising email
Phising Email

Menurut laporan Confense, pada bagian atas email adalah gambar yang disematkan yang dimaksudkan untuk terlihat seperti lampiran file PDF, bagaimanapun sebenarnya adalah file jpg dengan hyperlink yang tertanam. Ketika korban mengeklik lampiran, mereka otomatis ke URL infeksi hxxps:// fletcherspecs[.] Co [.] Uk / yang dimana muatan awal diunduh.

Payload awal dinamai “Scan050819.pdf_obf.jar.” Disini, penyerang menggunakan teknik kebingungan untuk membuat file ini terlihat seperti PDF yang sah dan membuat dua file class yang berbeda. Pembuat malware menggunakan takskill.exe untuk menonaktifkan alat analisis populer dan perangkat lunak Antivirus untuk menghindari deteksi.

Fitur menarik pada “Adwind” yaitu

• Mengambil tangkapan layar
• Memanen kredensial dari Chrome, IE dan Edge
• Mengakses Webcam, merekam video dan mengambil foto
• Merekan Audio dari mikrofone
• Mentrafer file
• Mengumpulkan informasi umum sistem dan pengguna
• Mencuri sertifikat VPN
• Berfungsi sebagai pencatat kunci atau password

Pada akhirnya Adwind menyimpan semua data yang dipanen di lokasi C:\ Users \Byte \AppData \Local \Tamp . Dan membagikannya kepada penyerang dengan membuat koneksi dengan Command & Control Server.

Nah sekian dari kami mengenai informasi malware komputer yang berbahaya, saran kami lebih berhati-hati dan teliti saat membuka atau mendownload file yang mencurigakan. Semoga bermanfaat.

Add a Comment

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *