Varian Baru Malware MyloBot Mengirim Email Sextortion Kepada Korban

Mark Teknologi
Mark Teknologi
November 30, 2023


Varian baru dari virus MyloBot telah terdeteksi untuk mengirimkan muatan berbahaya yang dimaksudkan untuk mengirim email pemerasan seks (Sextortion) yang menuntut $2.732 mata uang digital dari para korban.


MyloBot, ditemukan pada tahun 2018, dikatakan memiliki berbagai fitur anti-debugging canggih dan strategi propagasi untuk menarik perangkat yang terinfeksi ke dalam botnet, serta kemampuan untuk menghapus jejak malware pesaing lainnya dari sistem.


Di antara cara yang digunakan untuk menghindari deteksi dan tetap tidak terdeteksi adalah penundaan 14 hari sebelum menghubungi server perintah dan kontrol dan kemampuan untuk meluncurkan program jahat langsung dari memori.


Untuk menghindari pertahanan berbasis proses, MyloBot menggunakan teknik yang dikenal sebagai proses hollowing, di mana kode serangan disuntikkan ke dalam proses yang ditangguhkan dan dilubangi. Ini dilakukan dengan membuka pemetaan memori proses yang hidup dan menggantinya dengan kode arbitrer yang akan dijalankan, dalam hal ini file sumber daya yang didekodekan.


Menurut peneliti Minerva Labs Natalie Zargarov, "tahap kedua yang dapat dieksekusi kemudian menghasilkan subdirektori baru di bawah C:ProgramData." "Ia mencari svchost.exe dalam direktori sistem dan menjalankannya dalam mode ditangguhkan. Ia menyuntikkan dirinya ke dalam proses svchost.exe yang dibuat melalui mekanisme injeksi APC."




Injeksi APC, seperti pelubangan proses, adalah teknik injeksi proses yang memungkinkan kode berbahaya dimasukkan ke dalam proses korban yang ada menggunakan antrian panggilan prosedur asinkron (APC).


Infeksi kemudian melanjutkan untuk membangun kegigihan pada host yang disusupi, memanfaatkan pijakan sebagai batu loncatan untuk membangun koneksi dengan server jarak jauh untuk mengambil dan mengeksekusi muatan, yang pada gilirannya memecahkan kode dan menjalankan malware tahap akhir.


Virus ini dimaksudkan untuk mengeksploitasi titik akhir untuk mengirim pesan pemerasan yang merujuk pada aktivitas online penerima, seperti menjelajahi situs porno, dan mengancam untuk mengekspos video yang dilaporkan diperoleh dengan meretas webcam komputer mereka.


Investigasi Minerva Labs terhadap malware mengungkapkan bahwa ia dapat mengunduh lebih banyak file, menyiratkan bahwa aktor ancaman membiarkan pintu belakang terbuka untuk serangan di masa depan.


"Aktor ancaman ini berusaha keras untuk menjatuhkan malware dan menyembunyikannya, hanya untuk menyebarkannya sebagai pengirim surat pemerasan," jelas Zargarov. "Botnet berbahaya justru karena ancaman besar yang tidak teridentifikasi ini. Ini mungkin dengan mudah mendistribusikan dan mengeksekusi ransomware, malware, worm, atau bahaya lain ke semua titik akhir yang disusupi."