Situs yang mempromosikan antivirus corona palsu mengambil keuntungan dari pandemi COVID-19 saat ini untuk mempromosikan dan mendistribusikan muatan berbahaya yang akan menginfeksi komputer target dengan RAT BlackNET dan menambahkannya ke botnet.
Kedua situs yang mempromosikan perangkat lunak antivirus palsu yang bisa diakses di alamat antivirus-covid19[.]site dan corona-antivirus[.]com ditemukan oleh tim Malwarebytes Threat Intelligence dan peneliti di MalwareHunterTeam.
Sementara yang pertama sudah dihapus sejak terbitnya laporan dari Malwarebytes, yang ditemukan oleh MalwareHunterTeam masih aktif tetapi isinya sudah diubah, dengan menghapus tautan berbahaya dan tautan donasi ditambahkan untuk tujuan penipuan.
“Unduh AI Antivirus Corona kami untuk perlindungan terbaik terhadap virus Corona COVID-19,” tulis situs palsu tersebut. “Para ilmuwan kami dari Universitas Harvard telah bekerja pada pengembangan AI khusus untuk memerangi virus menggunakan aplikasi ponsel“.
Pembuat situs berbahaya ini juga menyebutkan pembaruan yang akan menambahkan kemampuan sinkronisasi VR ke antivirus palsu mereka: “Kami menganalisis virus corona di laboratorium kami untuk menjaga agar aplikasi selalu update! Segera sinkronisasi antivirus corona VR untuk pengimplementasiannya!”
Jika ada target yang berhasil tertipu, maka si korban akan mengunduh penginstal yang akan menyebarkan malware BlackNET ke dalam perangkat mereka.
BlackNET akan menambahkan perangkat yang terinfeksi ke botnet yang dapat dikendalikan oleh operatornya untuk tujuan:
- meluncurkan serangan DDoS
- mengunggah file ke mesin yang terinfeksi
- mengeksekusi skrip
- mengambil tangkapan layar
- mengambil data keystroke menggunakan built-in keylogger (LimeLogger)
- mencuri dompet bitcoin
- mencuri cookie dan kata sandi dalam browser
RAT BlackNET, yang dinilai sebagai ‘skidware malware‘ oleh MalwareHunterTeam, juga mampu mendeteksi jika dianalisis dalam VM dan akan memeriksa keberadaan alat analisis yang biasa digunakan oleh peneliti malware, menurut analisis yang dilakukan c0d3inj3cT.
And now MB found this page (with some words replaced/removed) on a different domain is used to deliver some skidware malware: https://t.co/Hno7oyG7BG
— MalwareHunterTeam (@malwrhunterteam) March 23, 2020
Malware ini juga dilengkapi dengan fitur-fitur manajemen bot termasuk me-restart dan mematikan perangkat yang terinfeksi, menghapus instalasi atau memperbarui klien bot, dan membuka halaman web yang terlihat atau yang disembunyikan.
Organisasi Kesehatan Dunia (WHO), Badan Keamanan Cybersecurity dan Infrastruktur (CISA) AS, dan Komisi Perdagangan Federal (FTC) AS telah memperingatkan agar berhati-hati terhadap phishing dan serangan bertema virus corona yang menargetkan korban dari berbagai negara di seluruh dunia.
