SHARE

Setidaknya ada lebih dari 140 perusahaan dimana sebagian besarnya merupakan Bank berhasil terinfeksi oleh malware yang cukup canggih dan berbahaya ini. Malware ini berjalan sepenuhnya pada memory sehingga sangat sulit untuk dideteksi.

Perusahaan antivirus asal Rusia, Kaspersky baru saja mempublikasikan temuannya terkait penyebaran fileless malware ini. Target utama dari malware ini adalah industri perbankan, telekomunikasi, dan pemerintahan. Setidaknya ada 40 negara berbeda yang menjadi targetnya dimana sebagian besar berada di Amerika Serikat, Amerika Selatan, Eropa dan Afrika.

Insiden ini setidaknya telah berhasil dideteksi terjadi pada 140 Perusahaan di 40 negara berbeda, dimana insiden paling banyak terjadi berasal dari negara Amerika Serikat, Perancis, Ekuador, Kenya, Inggris, dan Rusia.

Persebaran Infeksi Fileless Malware | sumber gambar: Securelist (Kaspersky Labs)

Fileless malware sendiri adalah sebuah program jahat yang sengaja disisipkan langsung kedalam memory pada sebuah proses yang sedang berjalan. Berbeda dengan malware kebanyakan dimana dibutuhkan sebuah file untuk dijalankan baru kemudian dilakukan infeksi, fileless malware tidak membutuhkan file apapun untuk dapat berjalan dan menginfeksi karena langsung akan menyerang ke memory pada sistem.

Insiden ini pertama kali dideteksi oleh salah seorang anggota tim security pada salah satu Bank dimana dia menemukan adanya Meterpreter pada memory fisik dari salah satu server Domain Controller miliknya. Hasil investigasi forensik oleh Tim Kaspersky selanjutnya berhasil menemukan bahwa malware tersebut disisipkan langsung kedalam memory menggunakan Powershell bawaan sistem operasi Windows

Teknik Infeksi Fileless Malware | sumber gambar: Securelist (Kaspersky Labs)

Malware tersebut juga berhasil memanfaatkan tools SC dan NETSH pada Windows untuk membuat proxy tunnel dan terhubung dengan server Command and Controlnya (C&C) sehingga pelaku kriminal dapat mengendalikan server yang telah terinfeksi dengan mudah. Selain itu malware ini juga berhasil menyembunyikan command Powershellnya kedalam registry untuk meminimalkan munculnya berbagai logs yang mungkin dapat membuatnya terdeteksi.

Tools SC dan NETSH sendiri sebenarnya hanya bisa dijalankan pada Windows menggunakan user dengan level priviledge setingkat Administrator. Untuk mendapatkan akses ini pelaku kriminal tersebut memanfaatkan tools lain yakni Mimikatz untuk mendapatkan hash password yang ada pada memory dari user system administrator.

Melihat dari kemampuannya yang cukup canggih ini, diprediksi bahwa infeksinya telah menyebar ke lebih banyak korban dari yang dilaporkan saat ini karena sulitnya untuk mendeteksi infeksi dari fileless malware ini.

Referensi:
Fileless attacks against enterprise networks
New “Fileless Malware” Targets Banks and Organizations Spotted in the Wild

Tinggalkan komentar

Berikan komentar