Otoritas penegak hukum telah mengumumkan bahwa mereka melacak pelanggan malware Smokeloader dan menahan setidaknya lima orang.
“Dalam serangkaian tindakan terkoordinasi, pelanggan botnet bayar-in-instal SmokeLoader, yang dioperasikan oleh aktor yang dikenal sebagai 'Superstar,' menghadapi konsekuensi seperti penangkapan, pencarian rumah, surat perintah penangkapan atau 'ketukan dan pembicaraan,'” kata Europol dalam sebuah pernyataan.
Superstar diduga telah menjalankan layanan bayar per instal yang memungkinkan pelanggannya untuk mendapatkan akses tidak sah ke mesin korban, menggunakan loader sebagai saluran untuk menggunakan muatan tahap berikutnya dari pilihan mereka.
Menurut Badan Penegakan Hukum Eropa, akses yang diberikan oleh botnet digunakan untuk berbagai tujuan seperti keylogging, akses webcam, penyebaran ransomware, dan penambangan cryptocurrency.
Tindakan terbaru, bagian dari latihan terkoordinasi yang sedang berlangsung yang disebut Operation Endgame, yang menyebabkan pembongkaran infrastruktur online yang terkait dengan beberapa operasi pemuat malware seperti ICEDID, SystemBC, Pikabot, SmokeLoader, Bumblebee, dan Trickbot tahun lalu.
Kanada, Republik Ceko, Denmark, Prancis, Jerman, Belanda, dan Amerika Serikat berpartisipasi dalam upaya tindak lanjut yang dimaksudkan untuk fokus pada “sisi permintaan” ekosistem kejahatan dunia maya.
Pihak berwenang, per Europol, melacak pelanggan yang terdaftar dalam database yang sebelumnya disita, menghubungkan kepribadian online mereka dengan individu kehidupan nyata dan memanggil mereka untuk ditanyai. Sejumlah tersangka yang tidak ditentukan diyakini telah memilih untuk bekerja sama dan memeriksa perangkat pribadi mereka untuk mengumpulkan bukti digital.
“Beberapa tersangka menjual kembali layanan yang dibeli dari SmokeLoader pada markup, sehingga menambahkan lapisan tambahan yang menarik untuk penyelidikan,” kata Europol. “Beberapa tersangka telah menganggap mereka tidak lagi berada di radar penegak hukum, hanya untuk mencapai kesadaran keras bahwa mereka masih menjadi sasaran.”
Loader malware datang dalam berbagai bentuk
Pengembangan datang ketika Symantec milik Broadcom mengungkapkan rincian kampanye phishing yang menggunakan format file Windows Screensaver (SCR) untuk mendistribusikan loader malware berbasis Delphi bernama Modiloader (alias DBATLOADER dan NATSOLOADER) pada mesin korban.
Ini juga bertepatan dengan kampanye web yang mengelak yang menipu pengguna untuk menjalankan file Windows Installer (MSI) yang berbahaya untuk menggunakan malware loader lain yang disebut sebagai Legion Loader.
“Kampanye ini menggunakan metode yang disebut 'PasteJacking' atau 'pembajakan clipboard' karena pemirsa diinstruksikan untuk menempelkan konten ke jendela yang dijalankan,” kata Palo Alto Networks Unit 42, menambahkan itu memanfaatkan beberapa strategi jubah untuk menghindari deteksi melalui halaman captcha dan menyamarkan halaman unduhan malware sebagai situs blog.
Kampanye phishing juga telah menjadi kendaraan pengiriman untuk KOI Loader, yang kemudian digunakan untuk mengunduh dan menjalankan pencuri informasi yang disebut Koi Stealer sebagai bagian dari urutan infeksi multi-tahap.
“Pemanfaatan kemampuan anti-VM oleh malware seperti KOI Loader dan Koi Stealer menyoroti kemampuan ancaman modern untuk menghindari analisis dan deteksi oleh analis, peneliti, dan kotak pasir,” kata Esentire dalam sebuah laporan yang diterbitkan bulan lalu.
Dan bukan itu saja. Bulan -bulan terakhir sekali lagi menyaksikan kembalinya Gootloader (alias Slowpour), yang disebarkan melalui hasil pencarian yang disponsori di Google, teknik yang pertama kali terlihat pada awal November 2024.
Serangan itu menargetkan pengguna yang mencari “template perjanjian non pengungkapan” di Google untuk menyajikan iklan palsu yang, ketika diklik, dialihkan ke situs (“Lawliner[.]com “) Di mana mereka diminta untuk memasukkan alamat email mereka untuk menerima dokumen.
“Tak lama setelah mereka memasukkan email mereka, mereka akan menerima email dari pengacara@SKHM[.]org, dengan tautan ke dokumen Word yang diminta (DOCX), “menurut seorang peneliti keamanan yang menggunakan nama Gootloader dan telah memantau pemuatan malware selama beberapa tahun.
“Jika pengguna melewati semua gerbang mereka, mereka akan mengunduh file JavaScript zip. Ketika pengguna membatalkan ritsleting dan menjalankan file JavaScript, perilaku Gootloader yang sama terjadi.”
Juga terlihat adalah pengunduh JavaScript yang dikenal sebagai FakeUPDATES (alias Socgholish) yang biasanya diperbanyak melalui cara rekayasa sosial yang menipu pengguna untuk menginstal malware dengan menyamarkan sebagai pembaruan yang sah untuk browser web seperti Google Chrome.
“Penyerang mendistribusikan malware menggunakan sumber daya yang dikompromikan, menyuntikkan javascript berbahaya ke situs yang rentan ke host sidik jari, melakukan pemeriksaan kelayakan, dan menampilkan halaman pembaruan palsu,” kata Google. “Malware biasanya dikirim melalui unduhan drive-by. JavaScript jahat bertindak sebagai pengunduh, memberikan malware tambahan.”
Jalur serangan pembaruan browser palsu juga telah diamati mendistribusikan dua keluarga malware JavaScript lainnya yang disebut FakesMuggles, yang dinamai demikian untuk penggunaan penyelundupan HTML untuk memberikan muatan tahap berikutnya seperti Netsupport Manager, dan Faketreff, yang berkomunikasi dengan server jarak jauh untuk memperbaiki payload tambahan seperti Darkgate dan Kirim Host.
