Jakarta (PARADE.ID)- Kelompok peretas Evilnum menargetkan perusahaan Fintech di Uni Eropa dan Inggris dalam dua tahun terakhir ini. Hal itu terungkap dalam laporan yang dirilis oleh peneliti ESET.
Dikutip dari Security Week, Evilnum pertama kali diindentifikasi pada 2018 lalu, dan telah meningkatkan kemampuan perangkatnya dengan program jahat yang dibeli dari penyedia malware-as-a-service (MaaS) bernama Golden Chickens.
Awalnya, Evilnum hanya berfokus pada spionase siber. Mereka mencari untuk memanen informasi keuangan dari perusahaan korban, termasuk dokumen yang berisi daftar pelanggan dan informasi investasi dan perdagangan, presentasi, kredensial untuk aplikasi perdagangan, data browser, informasi login email, data kartu kredit pelanggan, dan konfigurasi VPN.
Setelah mendapatkan berbagai informasi itu, kelompok peretas ini akan menggunakan serangan spear phising, dan mencoba membuat korban tertarik untuk mengakses tautan Google Drive ke file ZIP yang berisi file LNK (pintasan) untuk mengekstraksi dan mengeksekusi kode JavaScript sambil menampilkan dokumen umpan (biasanya foto dokumen ID) , kartu kredit, atau tagihan untuk membuktikan alamat fisik).
“Para peretas menggunakan dokumen yang dikumpulkan selama operasi mereka saat ini untuk memfasilitasi serangan baru dengan dokumen yang terlihat seperti asli,” ungkap peneliti ESET.
Setelah itu, skrip JS akan menyebarkan malware tambahan, termasuk C# spyware, Golden Chickens, dan aplikasi berbasis Python.
Setiap komponen memiliki server perintah dan kontrol (C&C) khusus dan beroperasi secara independen satu sama lain. Komponen diinstal melalui perintah manual, dan alat paska-peretasan diluncurkan secara manual jika diperlukan.
JavaScript juga bertindak sebagai pintu belakang, jika diperlukan, meskipun sampai saat ini hanya digunakan sebagai komponen tambahan. Beberapa varian skrip diamati sejak Mei 2018, dengan perbedaan mulai dari kode sisi server yang diperbarui untuk C&C, dukungan untuk berbagai perintah, kemampuan untuk mengunggah file ke C&C, dan penambahan skrip Python dan alat eksternal.
“Terlepas dari perbedaannya, fungsionalitas inti tetap sama di semua versi, termasuk pengambilan alamat server C&C dari halaman GitHub, GitLab atau Reddit yang dibuat khusus,” tulis peneliti ESET.
Komponen C# menampilkan file MSI (Penginstal Windows), dapat dijalankan secara independen dari JavaScript (meskipun diunduh setelah akses awal skrip) dan memiliki C&C yang berbeda. Varian terbaru dapat mengambil tangkapan layar, menjalankan perintah dan file, mengirim informasi ke server, dan mempertahankan keberadaannya.
Berdasarkan perintah yang diterima, malware akan menghentikan prosesnya dan menghapus keberadannya, menggerakkan mouse untuk mengambil tangkapan layar, dan mengirim cookie Chrome dan kata sandi yang disimpan ke server. Operator juga dapat menjalankan perintah tambahan menggunakan Command Prompt.
Sedangkan, komponen dari Golden Chickens yang digunakan dalam serangan Evilnum berasal dari keluarga TerraLoader. Dikerahkan melalui perintah manual yang dikirim ke komponen JS atau C#, alat-alat ini termasuk More_eggs, TerraPreter (muatan Meterpreter), TerraStealer (juga dikenal sebagai SONE atau Stealer One), dan TerraTV.
Menurut ESET, versi yang lebih lama dari komponen-komponen ini sebelumnya terlihat dalam serangan FIN6 yang menyasar pedagang e-commerce. Cobalt Group juga dikenal untuk memanfaatkan alat-alat Golden Chickens, tetapi peneliti keamanan mencatat bahwa ketiga penjahat ini adalah kelompok yang berbeda.
Evilnum juga bergantung pada berbagai komponen pasca-kompromi lainnya, termasuk alat berbasis Python (shell terbalik atas skrip SSL, proxy SSL, LaZagne, dan IronPython), dan alat yang tersedia untuk umum (skrip PowerShell seperti Bypass-UAC dan utilitas NirSoft, termasuk Mail PassView dan ProduKey).
“Grup ini menargetkan perusahaan fintech yang menyediakan platform perdagangan dan investasi untuk pelanggan mereka. Targetnya sangat spesifik dan tidak banyak,”ESET menyimpulkan.
(cyberthreat/PARADE.ID)