Grup Lazarus Menggunakan Malware Perbankan Baru Melawan Bank-bank India

• Korea Utara berusaha mencuri informasi dan uang dari lembaga keuangan India.
• Grup Lazarus telah menciptakan malware kustom baru yang dirancang untuk ditanam di ATM.
• Tidak ada bank India yang mengeluarkan pemberitahuan insiden keamanan, jadi mungkin belum ada korban.

Kelompok peretas Korea Utara yang terkenal "Lazarus" diduga di balik malware perbankan baru yang disebut "ATMDtrack", dan yang digunakan terhadap lembaga keuangan India saat ini. Berita itu datang Peneliti Kaspersky, yang menganalisis Dtrack dan memperkirakan bahwa itu dirancang untuk ditanam di ATM (mesin teller otomatis). Telemetri Kaspersky menunjukkan bahwa Dtrack pertama kali diaktifkan pada awal bulan, dikeluarkan dari berbagai dropper, dan menampilkan enkripsi yang kuat pada muatan aktual. Para peneliti berhasil mendekripsi dan menemukan kesamaan dengan kampanye DarkSeoul dari 2013, yang juga merupakan karya kelompok Lazarus.

Berbagai executable yang terkandung dalam dropper dimaksudkan untuk membantu memata-matai mesin yang terinfeksi. Di antara berbagai fungsi yang ditemukan para peneliti, berikut ini yang paling menonjol:

• keylogging
• mengambil riwayat browser
• mengumpulkan alamat IP host, informasi tentang jaringan yang tersedia dan koneksi aktif
• daftar semua proses yang berjalan
• daftar semua file di semua volume disk yang tersedia

Apa pun data yang dikumpulkan kemudian dibundel dengan rapi dalam arsip yang dilindungi kata sandi yang disimpan ke disk mesin yang terinfeksi, atau segera dikirim ke server C2.

Terlepas dari bagian mata-mata serangan, droppers juga mengandung Trojan akses jarak jauh (RAT). Perintah RAT yang dapat mengenai mesin yang terinfeksi adalah sebagai berikut:

• unggah file ke komputer korban
• buat file target tetap dengan eksekusi otomatis pada awal host korban
• unduh file dari komputer korban
• buang semua data volume disk dan unggah ke host yang dikendalikan oleh penjahat
• membuang volume disk yang dipilih dan mengunggahnya ke host yang dikendalikan oleh penjahat
• buang folder yang dipilih dan unggah ke host yang dikendalikan oleh penjahat
• mengatur nilai batas waktu interval baru antara pemeriksaan perintah baru
• keluar dan hapus kegigihan dan biner itu sendiri
• melaksanakan proses pada host korban

Sumber: securelist.com

Kami tidak dapat menemukan kasus bank India yang mengakui adanya pelanggaran, dan mudah-mudahan, praktik pemantauan jaringan mereka telah menghasilkan hasil perlindungan yang memadai. Selain itu, keamanan jaringan dan kebijakan kata sandi harus tetap pada tingkat tertinggi absolut ketika berhadapan dengan kampanye Lazarus. Insiden ini menunjukkan bahwa grup peretasan Korea Utara terus mengembangkan alat malware kustom dan kuat mereka sendiri, menggabungkan tujuan mencuri uang dan spionase dunia maya.

Punya sesuatu untuk dikomentari di atas? Jangan ragu untuk melakukan hal itu di bagian khusus di bawah, atau di acara sosial kami, pada Facebook dan Twitter.