Pelaku ancaman menyamar sebagai pewawancara dan mengirim file ZIP (onlinestoreforhirog.zip) kepada kandidat sebagai bagian dari wawancara palsu, yang berisi file sah dan file JavaScript berbahaya (printfulRoute.js) yang dikaburkan untuk menghindari deteksi.
Kode yang disamarkan menggunakan teknik seperti pengodean base64, nama fungsi dinamis, dan penggabungan string untuk menyembunyikan fungsinya. Setelah disamarkan, kode tersebut mengungkap alamat C2 (http://67.203.7(.)171:1244) dan kemampuannya untuk melakukan tugas berbahaya.
Fungsi utama secara dinamis menyesuaikan ekstraksi data dengan sistem operasi target sebelum mengatur transmisi data.
Modul komunikasi C2 membuat permintaan HTTP POST ke server tertentu, menggabungkan informasi sistem, pengenal host unik, stempel waktu, dan data yang diekstraksi, yang diformat sebagai data formulir dan menyertakan detail seperti nama host, platform, dan pengenal khusus untuk tipe data.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Malware yang dianalisis menggunakan fungsi bernama “rt” untuk mengunduh muatan tahap berikutnya dengan membuat URL dan menggunakan curl untuk mengunduh file ke lokasi sementara.
Fungsi ini mencoba mengunduh lagi hingga penghitung mencapai nilai tertentu atau berkas yang diunduh memenuhi persyaratan ukuran.
.webp)
File yang diunduh kemudian diekstraksi, dan skrip Python bernama “.npl” disimpan di direktori home pengguna, yang selanjutnya mengunduh skrip Python lain, “pay,” yang berisi kode yang sangat dikaburkan.
Deobfuscating mengungkap malware kaya fitur yang mampu mengumpulkan informasi sistem terperinci, mengambil lokasi geografis, berkomunikasi dengan server C&C, mengeksekusi perintah, dan memantau aktivitas pengguna melalui pencatatan tombol dan pemantauan clipboard.
.webp)
DEV#POPPER telah berkembang, menggabungkan kemampuan RMM untuk infeksi persisten melalui Anydesk, melewati deteksi AV.
Kemampuan eksfiltrasi malware telah berkembang secara signifikan, memungkinkan pencarian file rekursif, penyaringan, dan pengunggahan melalui FTP, termasuk transfer biner dan pengaburan data, yang menunjukkan peningkatan otomatisasi dan kerahasiaan dalam pencurian data.
Skrip Python menggunakan teknik pengaburan tingkat lanjut, termasuk fungsi penelusuran direktori dengan mekanisme penyaringan, untuk mengaburkan tujuannya dan menghambat analisis. Nama ld, ld0, ld1, dan ld2 mempersulit pemahaman kode dan menghindari deteksi.
.webp)
Skrip tersebut menunjukkan peningkatan kemampuan di luar contoh sebelumnya, seperti pengumpulan data geolokasi yang ditargetkan dan pengumpulan informasi sistem yang lebih terfokus, yang menunjukkan peningkatan kecanggihan dan potensi niat jahat.
Setelah membahayakan suatu host, penyerang memanfaatkan pintu belakang Python untuk mengakses kuki browser yang disimpan dalam ekstensi Chrome dengan mengunduh skrip kuki yang diketahui (qiè qù) (browser_cookie3) tetapi memiliki masalah ketergantungan.
.webp)
Setelah diatasi, malware tersebut mencuri data browser dan informasi sistem, mengirimkan detak jantung, dan mengunduh muatan lebih lanjut dari server C2 (67.203.7.171:1244) untuk dieksekusi.
Berdasarkan Securonixskrip Python berbahaya yang diunduh dari server jarak jauh dirancang untuk mencuri informasi sensitif dari berbagai peramban web di berbagai sistem operasi.
Malware ini menggunakan teknik pengaburan dan memanfaatkan arsitektur berbasis kelas untuk beradaptasi secara dinamis dengan sistem operasi sistem target, mengeksekusi modul kode khusus untuk macOS, misalnya, untuk mengekstrak kredensial browser dari Chrome, Opera, dan Brave.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access