Bitcoin investor terancam oleh kampanye Orcus RAT

Computer Security News

Pakar keamanan Fortinet telah menemukan bahwa para pencipta akses remote Trojan telah menargetkan Bitcoin investor berusaha untuk mendapatkan keuntungan dari lonjakan dalam nilai.

Para hacker mengirim investor phishing email iklan baru Bitcoin trading bot aplikasi “Gunbot”, yang dibuat oleh GuntherLab atau Gunthy. Namun, apa email yang memberikan kepada investor sebaliknya, adalah berbahaya Orcus RAT.

Phishing email berisi. ZIP lampiran menampilkan VB script sederhana dikembangkan untuk men-download biner menyamar sebagai file gambar JPEG. Para peneliti Fortinet mengklaim bahwa hacker tidak bahkan mencoba untuk menyembunyikan niat mereka, entah karena mereka tidak mau atau karena mereka telah tidak ada pengetahuan teknis untuk melakukannya.

Download executable adalah versi open source sistem persediaan alat TTJ-Inventory System yang disebut Trojanized. Kunci hardcoded digunakan untuk mendekripsi kode dikodekan ke lain dieksekusi .NET PE yang dimuat dan dijalankan untuk memori.

Dengan memeriksa keberadaan mutex yang disebut “dgonfUsV”, ancaman berbahaya memastikan bahwa itu adalah satu-satunya perwakilan yang berjalan pada komputer yang terinfeksi.

Menurut Fortinet, RunPE modul dapat mengeksekusi modul tanpa menulis mereka ke sistem. Juga, itu mampu melaksanakan modul di bawah executable yang sah dengan menjalankan aplikasi dalam mode ditangguhkan dan menggantikan proses memori dengan kode berbahaya setelah itu. Dengan berulang kali mengeksekusi malware, pengawas ketekunan membuat ancaman berjalan.

Selain memiliki semua fitur aplikasi tersebut harus mencakup, Orcus RAT dapat memuat plugin dan melaksanakan C# dan VB.net kode pada mesin remote secara real-time.

“Pada dasarnya, jika komponen server ‘terinstal’ untuk sistem Anda, orang di sisi lain adalah praktis di depan mesin Anda sambil melihat dan mendengar Anda pada waktu yang sama-ya, itu dapat mengaktifkan webcam dan mikrofon Anda bahkan tanpa Anda ketahui,” ahli Fortinet mengatakan.

Selain itu, Orcus mampu menonaktifkan lampu indikator pada webcam untuk memata-matai pengguna dan menerapkan pengawas yang me-restart server komponen. Selain itu, jika pengguna mencoba membunuh proses, tikus dapat memicu Blue Screen of Death (BSOD).

Juga, demikian pula untuk banyak tikus, Orcus ancaman pengambilan password fitur dan fungsionalitas penebangan kunci. Selain itu, malware menawarkan sebuah plugin yang dapat digunakan untuk melakukan serangan didistribusikan penolakan Layanan (DDoS).

Pakar keamanan melihat bahwa hacker telah membuat beberapa perubahan untuk isi situs-web yang mendistribusikan Orcus RAT (bltcointalk.com, yang mencoba untuk meniru Bitcoin forum bitcointalk.org). Selain itu, mereka dihapus file gambar tersebut dari situs posting ZIP file sebaliknya.

Tim Fortinet juga menemukan situs-web tambahan yang mencoba untuk meniru sah domain dengan perubahan satu huruf dalam URL. Untuk alasan itu, para ahli menyarankan bahwa hacker siklus antara website ketika beralih ke kampanye baru.


Leave a Reply

Your email address will not be published. Required fields are marked *