Pada Q1 2024, 10 Malware Teratas yang diamati di Multi-State Information Sharing and Analysis Center® (MS-ISAC®) sedikit berubah dari kuartal sebelumnya. Pengunduh SocGholish terus memimpin sebagai Malware Teratas, menghasilkan 60% dari 10 Malware Teratas. ArechClient2, Trojan Akses Jarak Jauh (RAT) berbasis .Net, berada di urutan kedua, sementara CoinMiner, penambang cryptocurrency berbahaya, adalah malware paling umum ketiga di Q1 2024. Lumma Stealer, Jupyter, dan Ratenjay semuanya kembali ke daftar di Q1. Silakan lihat di bawah ini untuk deskripsi malware yang lebih mendetail dan indikator kompromi terkait. Sistem operasi Windows.
Vektor Infeksi Malware
MS-ISAC melacak vektor infeksi awal potensial untuk 10 Malware Teratas setiap kuartal berdasarkan pelaporan sumber terbuka, seperti yang digambarkan dalam grafik di bawah ini. Saat ini kami melacak empat vektor infeksi awal: Dropped, Malvertisement, Malspam, dan Jaringan. Beberapa malware menggunakan vektor yang berbeda dalam konteks yang berbeda dan dilacak sebagai Multiple.
CIS Community Defense Model (CDM) v2.0 dapat membantu Anda mempertahankan diri dari 77% teknik (sub-) MITRE ATT&CK yang terkait dengan malware – apa pun vektor infeksi yang mereka gunakan. Pelajari lebih lanjut dalam video di bawah ini.
Pada Q1, Malvertisement adalah vektor infeksi awal yang nomor satu karena peningkatan yang signifikan dalam peringatan yang terkait dengan SocGholish dan kampanye yang sedang berlangsung di mana ia menyamar sebagai pembaruan perangkat lunak untuk akses awal. Selain itu, kategori Dropped meningkat 290% dari kuartal sebelumnya karena peningkatan aktivitas Gh0st dan Ratenjay.
Dropped – Malware yang dikirimkan oleh malware lain yang sudah ada di sistem, kit eksploitasi, perangkat lunak pihak ketiga yang terinfeksi, atau secara manual oleh aktor ancaman dunia maya. 10 Malware teratas yang saat ini menggunakan teknik ini termasuk Gh0st dan Ratenjay.
Malspam – Email yang tidak diminta, yang mengarahkan pengguna ke situs web berbahaya atau mengelabui pengguna untuk mengunduh atau membuka malware. 10 Malware teratas yang saat ini menggunakan teknik ini termasuk Agen Tesla dan NanoCore.
Multiple – Malware yang saat ini menggunakan setidaknya dua vektor, seperti dropped dan malspam. 10 Malware teratas yang saat ini menggunakan teknik ini termasuk ArechClient2, CoinMiner, dan Lumma Stealer.
Malvertisement – Malware yang diperkenalkan melalui iklan berbahaya. 10 Malware teratas yang saat ini menggunakan teknik ini termasuk Jupyter, RogueRaticate, dan SocGholish.
10 Malware dan IOC Teratas
Di bawah ini adalah 10 Malware Teratas yang diurutkan berdasarkan prevalensi. Indikator-indikator kompromi (IOC) yang terkait disediakan untuk membantu mendeteksi dan mencegah infeksi dari varian-varian malware ini. IOC di bawah ini dapat digunakan untuk berburu ancaman tetapi mungkin tidak secara inheren berbahaya untuk tujuan pemblokiran.
- SocGholish
SocGholish adalah pengunduh yang ditulis dalam JavaScript dan didistribusikan melalui situs web yang berbahaya atau disusupi. Ia menggunakan pembaruan perangkat lunak palsu, seperti pembaruan peramban atau pembaruan Flash, untuk mengelabui pengguna agar mengunduh malware. Malware ini menggunakan berbagai metode untuk pengalihan lalu lintas dan pengiriman muatan, diketahui menggunakan Cobalt Strike, dan mencuri informasi dari sistem korban. Selain itu, SocGholish dapat menyebabkan eksploitasi lebih lanjut, seperti dengan memuat NetSupport Remote Access Tool, Async Remote Access Tool, dan dalam beberapa kasus, ransomware.
Domain
assay[.]porchlightcommunity[.]org
eeatgoodx[.]com
event[.]coachgreb[.]com
funcallback[.]com
gitbrancher[.]com
libertariancounterpoint[.]com
pluralisme[.]themancav[.]com
usersync[.]tiqcdn[.]net
whitedrill[.]org
Alamat IP
81[.]94[.]150[.]21
83[.]69[.]236[.]128
88[.]119[.]169[.]108
91[.]121[.]240[.]104
185[.]158[.]251[.]240
193[.]233[.]140[.]136
- ArechClient2
ArechClient2, juga dikenal sebagai SectopRAT, adalah RAT .NET dengan banyak kemampuan, termasuk beberapa fungsi penghindaran pertahanan. ArechClient2 dapat membuat profil sistem korban, mencuri informasi seperti data peramban dan dompet kripto, dan meluncurkan desktop sekunder tersembunyi untuk mengontrol sesi peramban. Selain itu, dia memiliki beberapa kemampuan anti-VM dan anti-emulator.
Alamat IP
34[.]107[.]35[.]186
77[.]73[.]133[.]83
195[.]201[.]198[.]179
Hash SHA256
8e289b8dfc7e4994d808ef79a88adb513365177604fe587f6efa812f284e21a3
a835602db71a42876d0a88cc452cb60001de4875a5e91316da9a74363f481910
237d1bca6e056df5bb16a1216a434634109478f882d3b1d58344c801d184f95d
9118c090b3c2b7e945397eae30585bd6d3c5924ed677f2cb2259f1223ade4b18
99254891543a79f2a6ea6163ff10dfd12c839655e8012d199ccc6b6c530d8f5f
- CoinMiner
CoinMiner adalah keluarga penambang mata uang kripto yang biasanya menggunakan Windows Management Instrumentation (WMI) untuk menyebar ke seluruh jaringan. Selain itu, sering kali menggunakan skrip WMI Standard Event Consumer untuk mengeksekusi skrip agar tetap bertahan. Namun, kemampuan malware ini dapat bervariasi karena ada beberapa varian. CoinMiner menyebar melalui malspam atau dijatuhkan oleh malware lain.
Alamat IP
80[.]71[.]158[.]96
167[.]114[.]114[.]169
Hash SHA256
6FB4945BB73AC3F447FB7AF6BD2937395A067A6E0C0900886095436114A17443
72F1BA6309C98CD52FFC99DD15C45698DFCA2D6CE1EF0BF262433B5DFFF084BE
99D9DFD8F1C11D055E515A02C1476BD9036C788493063F08B82BB5F34E19DFD6
A4F20B60A50345DDF3AC71B6E8C5EBCB9D069721B0B0EDC822ED2E7569A0BB40
8A492973B12F84F49C52216D8C29755597F0B92A02311286B1F75EF5C265C30D
d37224bd65996195415c0de364cb80f78609e5ea83e5295600b364298b39d7d1
URL
evinfeoptasw[.]dedyn[.]io/updater[.]php
eldi8[.]github[.]io/src[.]txt
euserv3[.]herokuapp[.]com/c0s1ta/index[.]php
eu1[.]microtunnel[.]it/c0s1ta/index[.]php
- NanoCore
NanoCore adalah RAT yang disebarkan melalui malspam dengan lampiran, seperti spreadsheet Excel (.xls) yang berbahaya. NanoCore menerima perintah untuk mengunduh dan mengeksekusi file, mengunjungi situs web, dan menambahkan kunci registri untuk bertahan.
Domain
hadleyshope[.]3utilities[.]com
louinc928[.]gotdns[.]ch
Alamat IP
193[.]161[.]193[.]99
Hash SHA256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- Agen Tesla
Agen Tesla adalah sebuah RAT yang menargetkan sistem operasi Windows. Ia tersedia untuk dibeli di forum-forum kriminal sebagai Malware sebagai Layanan. Ia memiliki berbagai kemampuan tergantung pada versi yang dibeli, termasuk menangkap penekanan tombol dan tangkapan layar, memanen kredensial yang tersimpan dari peramban web, menyalin data papan klip, mengeksfiltrasi file korban, dan memuat malware lain ke dalam host.
Domain
Topendpower[.]top
7070bc8[.]sytes[.]net
Alamat IP
34[.]154[.]74[.]85
45[.]33[.]8[.]30
91[.]92[.]250[.]136
Hash SHA256
95e526a19a39942ee7073e28adddb685bb5bb41f889858c91bea644c657acb36
5C2C93B18CAA56E2591D32399C6BCA39C03F27AB9FC21FAA565915FFCB4944A0
4de0c431cb9805cb419d42e5f3630a74393ed10409bf0e6d3d65c7b95e380aa5
f712b4e15225a89a206e7168e702fefc5cc9fabf62ae2a3a598796a0c36da621
dbbc943775cef80dc40c35392e895c1ce2e29945d9ffd418c6cc348373cbbbf0
8b78d6da98f169fd75cb59064e11661d4b56461385985214833732b0b7958301
4f972768d48bae371172ca8a9387331a7a8c1ad13dbc0022c8dba93ac5c4fe2a
- Lumma Stealer
Lumma Stealer adalah malware infostealer yang dijual di web gelap yang menargetkan informasi yang dapat diidentifikasi secara pribadi, seperti kredensial, cookie, dan informasi perbankan. Selain itu, dia memiliki banyak kemampuan penghindaran pertahanan, termasuk mendeteksi apakah sistem yang terinfeksi merupakan lingkungan virtual, mendeteksi aktivitas pengguna pada sistem, dan mengenkripsi file yang dapat dieksekusi untuk mencegah rekayasa balik.
Domain
chincenterblandwka[.]pw
loogsporus[.]pw
meayyammgaterre[.]pw
netovrema[.]pw
opposesicknessopw[.]pw
politefrightenpowoa[.]pw
Hash SHA256
7603C6DD9EDCA615D6DC3599970C203555B57E2CAB208D87545188B57AA2C6B1
674D96C42621A719007E64E40AD451550DA30D42FD508F6104D7CB65F19CBA51
48CBEB1B1CA0A7B3A9F6AC56273FBAF85E78C534E26FB2BCA1152ECD7542AF54
483672A00EA676236EA423C91D576542DC572BE864A4162DF031FAF35897A532
01A23F8F59455EB97F55086C21BE934E6E5DB07E64ACB6E63C8D358B763DAB4F
- Ratenjay
Ratenjay adalah RAT yang dijatuhkan oleh malware lain atau diunduh sebagai file ke sistem korban. Ratenjay menjalankan perintah dari jarak jauh dan memiliki kemampuan keylogging.
Alamat IP
94[.]158[.]247[.]101
167[.]235[.]141[.]81
- Jupyter
Jupyter, alias SolarMarker, adalah infostealer .NET yang sangat mengelak dan adaptif. Untuk akses awal, pelaku ancaman membuat situs web watering hole untuk menipu pengguna yang tidak menaruh curiga untuk mengunduh dokumen berbahaya, sering kali file ZIP atau PDF yang disematkan dengan file eksekusi berbahaya. Selain itu, mereka menggunakan keracunan SEO untuk menaikkan peringkat situs web berbahaya secara artifisial dalam peringkat hasil pencarian.
Alamat IP
86[.]106[.]20[.]155
146[.]70[.]81[.]77
146[.]70[.]88[.]119
146[.]70[.]101[.]97
Hash SHA256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- RogueRaticate
RogueRaticate adalah sebuah pengunduh yang ditulis dalam JavaScript yang didistribusikan melalui situs web yang berbahaya atau disusupi menggunakan pembaruan peramban palsu. Muatan untuk RogueRaticate melibatkan file aplikasi HTML yang di-zip atau diunduh sebagai file pintasan. RogueRaticate diketahui dapat menyebabkan eksploitasi tambahan, seperti dengan memuat Alat Akses Jarak Jauh NetSupport.
Hash SHA256
1d9900c8dbaa47d2587d08b334d483b06a39acb27f83223efc083759f1a7a4f6
08d9df800127f9fb7ff1a246346e1cf5cfef9a2521d40d6b2ab4e3614a19b772
- Gh0st
Gh0st adalah RAT yang digunakan untuk mengontrol titik akhir yang terinfeksi. Gh0st dijatuhkan oleh malware lain untuk membuat pintu belakang yang memungkinkan penyerang mengendalikan perangkat yang terinfeksi sepenuhnya.
Domain
ad[.]jcrsoft[.]com
alienlol[.]com
a1free9bird[.]com
beiyeye[.]401hk[.]com
hodbeast[.]com
icybin[.]flnet[.]org
ip[.]yototoo[.]com
siekis[.]com
tcp[.]nhntech[.]com
worldinfocontact[.]club
xiaoxiannv[.]gnway[.]net
Hash SHA256
f86d05c1d7853c06fc5561f8df19b53506b724a83bb29c69b39f004a0f7f82d8
7dc7cec2c3f7e56499175691f64060ebd955813002d4db780e68a8f6e7d0a8f8
bf52ca4d4077ae7e840cf6cd11fdec0bb5be890ddd5687af5cfa581c8c015fcd
d7004910a87c90ade7e5ff6169f2b866ece667d2feebed6f0ec856fb838d2297
5402c785037614d09ad41e41e11093635455b53afd55aa054a09a84274725841
Untuk menghindari dari raja ransowmare ini, perusahaan Anda dapat langsung hubungi tim Berca di Marketing@berca.co.id atau WhatsApp
