- Beranda
- Komunitas
- Entertainment
- The Lounge
Bitcoin Bot Palsu Beredar
TS
budhie
Bitcoin Bot Palsu Beredar
Quote:
Seiring dengan harga Bitcoin yang terus melambung tinggi , semakin banyak cyber criminal yang terfokus pada apa dan siapa pun yang memperdagangkan dan menggunakan kripto yang sedang populer saat ini.
Cara terbaru dari cyber criminal kali ini dengan menghadirkan sebuah software jahat/mallware ke kelompok pengguna Bitcoin tertentu. Metode ini ditemukan oleh peneliti keamanan perusahaan Fortinet.
Penawaran jahat tersebut datang melalui email berupa penawaran trial gratis Gunbot, sebuah bot untuk perdagangan bitcoin versi terbaru yang dikembangkan oleh Gunthy.
Email ini menyertakan sebuah attachment bernama sourcode.vbs.zip- berisi kode VB Script yang saat dieksekusi, akan mendownload file yang terlihat seperti file gambar JPEG, tapi sebenarnya aslinya adalah sebuah aplikasi trojan.
Tampilan executable yang didownload kelihatan seperti tampilan aplikasi sistem inventory dengan banyak rujukan ke perintah SQL.
Setelah dianalisa lebih mendalam, aplikasi ini mengandung versi trojan dari aplikasi sistem inventory open source yang bernama TTJ-Inventory System.
Jika di jalankan file berbahaya tersebut akan menginstal sejumlah program lain nya. Salah satu executables ini memastikan bahwa malware akan dijalankan setiap kali sistem di-reboot. Program lainnya terdeteksi sebagai Orcus Server RAT.
Orcus meskipun dikenal sebagai Remote Administration Tool, menghadirkan fitur yang berada di luar cakupan itu. Misalnya, pengguna memiliki kemampuan untuk menonaktifkan indikator cahaya pada Webcam sehingga tidak memberitahukan target yang aktif.
Hal Ini juga dapat membuat seorang administrator untuk me-restart komponen server atau bahkan memicu Blue Screen of Death (BSOD)jika administrator tersebut mencoba untuk membunuh proses aplikasi yang sedang berjalan.
Plugin yang bisa digunakan untuk melakukan Distributed Denial of Service (DDOS) juga tersedia langsung dari repositori mereka.
Trojan ini dibuat untuk mencuri data sandi/password dan mengincar kata kunci yang biasanya diterapkan di Remote Access Trojans.
Situs tempat malware didownload tersebut diparkir di domain bltcointalk dot com yang masih tersedia dan dapat diakses.
Para peneliti juga menemukan domain lain yang terdaftar oleh aktor yang sama seperti gambar berikut :
Tampaknya domain-domain tersebut dimaksudkan untuk menjadi tampungan website palsu yang akan meniru website pasar Bitcoin, Litecoin, situs lelang Bitify, forum Bitcoin-Bitcointalk, website Github, dan situs Gunthy.
Beberapa domain ini masih aktif, dan memiliki tampilan yang serupa dengan situs yang resmi. Kemungkinan domain tersebut telah disiapkan untuk mengumpulkan informasi kredensial yang masuk atau untuk membuat pengunjung mendownload malware mereka.
Cara terbaru dari cyber criminal kali ini dengan menghadirkan sebuah software jahat/mallware ke kelompok pengguna Bitcoin tertentu. Metode ini ditemukan oleh peneliti keamanan perusahaan Fortinet.
Penawaran jahat tersebut datang melalui email berupa penawaran trial gratis Gunbot, sebuah bot untuk perdagangan bitcoin versi terbaru yang dikembangkan oleh Gunthy.
Email ini menyertakan sebuah attachment bernama sourcode.vbs.zip- berisi kode VB Script yang saat dieksekusi, akan mendownload file yang terlihat seperti file gambar JPEG, tapi sebenarnya aslinya adalah sebuah aplikasi trojan.
Tampilan executable yang didownload kelihatan seperti tampilan aplikasi sistem inventory dengan banyak rujukan ke perintah SQL.
Setelah dianalisa lebih mendalam, aplikasi ini mengandung versi trojan dari aplikasi sistem inventory open source yang bernama TTJ-Inventory System.
Jika di jalankan file berbahaya tersebut akan menginstal sejumlah program lain nya. Salah satu executables ini memastikan bahwa malware akan dijalankan setiap kali sistem di-reboot. Program lainnya terdeteksi sebagai Orcus Server RAT.
Orcus meskipun dikenal sebagai Remote Administration Tool, menghadirkan fitur yang berada di luar cakupan itu. Misalnya, pengguna memiliki kemampuan untuk menonaktifkan indikator cahaya pada Webcam sehingga tidak memberitahukan target yang aktif.
Hal Ini juga dapat membuat seorang administrator untuk me-restart komponen server atau bahkan memicu Blue Screen of Death (BSOD)jika administrator tersebut mencoba untuk membunuh proses aplikasi yang sedang berjalan.
Plugin yang bisa digunakan untuk melakukan Distributed Denial of Service (DDOS) juga tersedia langsung dari repositori mereka.
Trojan ini dibuat untuk mencuri data sandi/password dan mengincar kata kunci yang biasanya diterapkan di Remote Access Trojans.
Situs tempat malware didownload tersebut diparkir di domain bltcointalk dot com yang masih tersedia dan dapat diakses.
Para peneliti juga menemukan domain lain yang terdaftar oleh aktor yang sama seperti gambar berikut :
Tampaknya domain-domain tersebut dimaksudkan untuk menjadi tampungan website palsu yang akan meniru website pasar Bitcoin, Litecoin, situs lelang Bitify, forum Bitcoin-Bitcointalk, website Github, dan situs Gunthy.
Beberapa domain ini masih aktif, dan memiliki tampilan yang serupa dengan situs yang resmi. Kemungkinan domain tersebut telah disiapkan untuk mengumpulkan informasi kredensial yang masuk atau untuk membuat pengunjung mendownload malware mereka.
Spoiler for warning:
Demikian artikel ini dipublish TS untuk kontribusi di KASKUS
Sumber : fortinet
Hak Cipta Image : by Google
Hak Cipta Image : by Google
Sekian dulu thread ini, semoga bermanfaat dan terima kasih buat semua yang telah sudi mampir ke thread ane.
Diubah oleh budhie 10-12-2017 16:59
0
11.8K
171
Komentar yang asik ya
Urutan
Terbaru
Terlama
Komentar yang asik ya
Komunitas Pilihan