Malware Tidak Ditemukan: Bagaimana Cryptojackers Menggunakan Metode Canggih untuk Menghindari Deteksi

Kemampuan obfuscation pencipta malware cryptocurrency mining semakin semakin canggih, menurut para peneliti cybersecurity di Trend Micro.

Hal ini dibuktikan oleh malware penambangan cryptocurrency baru yang para peneliti temukan yang menggunakan beberapa teknik penghindaran untuk menghindari deteksi. Diidentifikasi sebagai Coinminer.Win32.MALXMR.TIAOODAM, perangkat lunak penambang kripto jahat berpose sebagai file penginstal untuk sistem operasi Windows ketika tiba di mesin targetnya. Penggunaan komponen nyata dari OS Windows tidak hanya membuatnya tampak kurang mencurigakan tetapi juga memungkinkan malware untuk mem-bypass filter keamanan tertentu.

Dari analisis yang dilakukan oleh para peneliti cybersecurity, perangkat lunak cryptojacking menginstal dirinya sendiri di folder ini:% AppData% \ Roaming \ Microsoft \ Windows \ Template \ FileZilla Server. FileZilla adalah aplikasi open-source gratis untuk mentransfer file melalui internet. Jika direktori belum ada, malware akan membuat satu.

Di antara file yang terkandung dalam direktori termasuk skrip yang dibuat untuk menghentikan semua proses anti-malware yang mungkin berjalan.

Di suatu tempat di Eropa Timur …

Proses instalasi dari malware penambangan kripto tertentu melibatkan lebih banyak tindakan yang ditujukan untuk mencegah deteksi. Menariknya, proses instalasi dilakukan di Cyrillic, menunjukkan bahwa pencipta mungkin berbasis di Eropa Timur atau tempat lain yang menggunakan sistem penulisan.

Setelah instalasi, malware akan membuat tiga proses Host Host baru, beberapa di antaranya digunakan untuk mengunduh ulang malware jika terjadi penghentian:

“Proses SvcHost pertama dan kedua akan bertindak sebagai pengawas, kemungkinan besar untuk tetap gigih. Ini bertanggung jawab untuk mengunduh kembali file Windows Installer (.msi) melalui perintah Powershell ketika salah satu proses svchost yang disuntikkan diakhiri, ”kata Janus Agcaoili dari Trend Micro dan Gilbert Sison dalam posting blog .

Malware penambang crypto juga memiliki mekanisme penghancuran diri yang bertujuan untuk memastikan bahwa deteksi dan analisis menjadi lebih sulit. Ini dicapai dengan menghapus setiap file yang ada di direktori instalasi serta menyingkirkan semua jejak instalasi.

Baca Juga:   Dash Breaks Bear Paralysis sebagai Fundamental Kuat Tambah 25% Keuntungan

Mengambil Tidak Ada Kemungkinan

Menurut peneliti Trend Micro, pembuat malware juga mengambil tindakan pencegahan ekstra untuk menghindari deteksi dengan menggunakan WiX, Penginstal Windows yang populer, sebagai pengemas.

 

Ini datang pada saat ketika berbagai penelitian telah menunjukkan bahwa insiden cryptojacking sedang meningkat di seluruh dunia. Seperti yang dilaporkan CCN pada bulan September, konsorsium cybersecurity Cyber ​​Threat Alliance memperkirakan bahwa cryptojacking telah meningkat sebesar 459% tahun ini.

Awal tahun ini, Kaspersky Labs menunjukkan bahwa serangan ransomware menurun dan ini adalah fakta bahwa aktor jahat semakin beralih ke cryptojacking , karena itu lebih menguntungkan.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *