Berita

Mengenal AZORult Malware

Apakah AZORult Malware Itu?
AZORult Malware pertama kali ditemukan pada bulan Juli tahun 2016 sebagai pencuri informasi history browser, cookie, ID/password banking, kartu kredit bahkan hingga cryptocurrency. Malware ini juga kerap kali digunakan sebagai downloader malware lainnya. Pada saat pertama kali ditemukan, malware ini didistribusikan bersama dengan trojan lainnya yang dikenal sebagai Chthonic. Namun demikian, teknik atau metode yang kerap kali digunakan oleh pelaku kejahatan siber untuk menyebarkan malware ini adalah melalui spam e-mail. Pada tahun 2018 tercatat kemunculan jenis baru dari malware ini, para analis keamanan mengungkapkan bahwa malware ini pada versi terbaru memiliki kapabilitas untuk menjadi loader bagi malware lainnya. Versi terbaru dari malware ini saat ini adalah v3.3., versi ini pertama kali didokumentasikan pada bulan Oktober 2018, salah satu hal yang paling mendasar yang berbeda dari versi ini adalah pemutakhiran mengenai cara untuk mengenkripsi string domain C&C dan peningkatan kemampuan “cypto-stealing functionality”.
 
Sekilas tentang malware AZORult 
Malware jenis trojan ini berasal dari salah satu negara pecahan Uni Soviet, AZORult melakukan pencarian informasi yang berharga pada komputer korban dan mengirimkan informasi tersebut ke server C2. AZORult juga memiliki kapabilitas untuk mencuri cookies, browser autofill information, file desktop, histori chat. Malware ini kerap kali dijual oleh komunitas “underground” untuk mengumpulkan informasi-informasi sensitif dari perangkat yang terinfeksi. Meskipun harganya relatif tinggi sekitar 100 USD, namun malware ini menjadi salah satu favorit untuk diperjual belikan oleh komunitas “underground”. Variant malware ini mampu membuat akun administrator yang tersembunyi untuk mengatur registry key serta membuat koneksi melalui Remote Desktop Protocol (RDP). Exploit Kit dan phising email dengan teknik social engineering menjadi teknik infeksi utama yang dipergunakan oleh pelaku kejahatan untuk mendistribusikan malware ini. Rumpun malware lainnya seperti Ramnit dan Emotet juga kerap kali digunakan sebagai downloader untuk mengunduh AZORult. 
 
Teknik phising email dan malspam biasanya dilakukan dengan cara mengirimkan dokumen invoice palsu, dokumen pemesanan produk, dokumen tagihan pembayaran palsu dan lain sebagainya. Ketika pengguna membuka atau mengunduh dokumen-dokumen tersebut secara tidak sadar pengguna mengeksekusi malware tersebut. Kemudian setelah itu komputer yang terinfeksi akan terhubung dengan server penyerang (C2 server) untuk menerima dan mengirim informasi. 
 
Bagaimana malware AZORult Bekerja ?
Pelaku kejahatan siber memanfaatkan malware ini untuk melakukan pencurian informasi, umumnya dilakukan dengan beberapa tahapan
  1. Pelaku kejahatan mengirimkan e-mail phishing atau exploit kit kepada korban, yang membuat korban tertarik untuk membuka file lampiran atau file yang dilkirimkan atau pengguna mengunjungi situs yang telah disusupi oleh malware;
  2. Malware dieksekusi ketika korban membuka file lampiran dari e-mail phishing atau mendownload file dari situs yang telah disusupi malware;
  3. Malware melakukan persistence mechanism pada komputer korban agar malware berjalan secara otomatis ketika komputer direstart;
  4. Malware melakukan harvesting atau pencurian informasi keredensial korban dan mengirimkannya ke server C2
 
Ilustrasi dari proses tersebut dapat dilihat pada Gambar 1.
 
Malware ini juga memiliki 4 (empat) kemampuan utama yaitu 
  1. mencuri informasi;
  2. menjalankan perintah backdoor;
  3. melakukan exploit; dan
  4. mendownload file korban secara bebas. 
Contoh email spam yang digunakan untuk mendistribusikan Malware Azorult  (lihat Gambar 2).
 
Bagaimana agar saya tidak terinfeksi malware AZORult ?
Kemudian apa yang harus dilakukan oleh pengguna agar terhindar dari malware ini? rekomendasi ini mungkin dapat dipertimbangkan. 
  1. Pastikan komputer anda terinstall anti-virus dengan definisi termutakhir
  2. Lakukan pemindaian dengan anti-virus dengan mode deep-scan pada perangkat komputer anda secara berkala untuk mendeteksi ada atau tidaknya aktifitas mencurigakan pada komputer anda
  3. Tidak membuka e-mail dan file attachment dari alamat e-mail yang tidak dikenal untuk mencegah infeksi malware
  4. Tidak mengunjungi situs yang tercompromise atau berbahaya untuk mencegah infeksi malware ke perangkat computer anda
 
Referensi :
[1] https://www.trendmicro.com/vinfo/in/threat-encyclopedia/search/trojanspy.win32.azorult (diakses tanggal 19 Februari 2020 pukul 10.14 WIB).
[2] Azorult Malware Information https://success.trendmicro.com/solution/000146108-AZORULT-Malware-Information (diakses tanggal 19 Februari 2020 pukul 10.14 WIB).
[3] Azorult ++ : Rewriting History https://securelist.com/azorult-analysis-history/89922/ (diakses tanggal 19 Februari 2020 pukul 11.04 WIB).

  • Jumat, 28 Feb 2020
  • Oleh admin

Pemantauan Trafik Internet Nasional

Laporan pemantauan trafik internet nasional dengan menampilkan laporan trafik mingguan, trafik bulanan dan trafik tahunan.

Peringatan Ancaman Keamanan & Kerentanan Sistem

Kumpulan arikel tentang peringatan dini ancaman keamanan dan kerentanan sistem.

Security News

Kumpulan berita tentang keamanan siber atau IT.

Laporan Insiden

Id-SIRTII/CC menerima pelaporan insiden dari publik untuk kemudian dilakukan koordinasi kepada pihak-pihak yang berkepentingan.