Kaspersky Lab kali ini temukan malware yang menargetkan bank, perusahaan telekomunikasi, dan organisasi pemerintah di 40 negara. Termasuk Amerika Serikat, Amerika Selatan, Eropa dan Afrika. Aksi ini diluncurkan dengan fileless malware yang menyusup kedalam memori komputer.
Fileless malware pertama kali ditemukan oleh Kaspersky pada tahun 2014. Dan tidak pernah mainstream sampai sekarang.
Fileless malware merupakan malware yang tidak menyalin file atau folder ke dalam hard drive untuk dijalanlan. Namun, muatan malware ini menginjeksi ke dalam memori dari proses yang sedang berjalan. Lalu malware ini akan mengeksekusi muatan ke dalam sistem RAM.
Setelah itu, akuisisi memori akan menjadi tidak berguna setelah sistem reboot. Sehingga sulit bagi ahli forensik digital untuk menemukan jejak malware.
Serangan ini awalnya ditemukan oleh tim keamanan bank setelah mereka menemukan salinan meterpreter Metasploit. Salinan meterpreter tersebut ditemukan di komponen memori dalam memori fisik dari Microsoft domain controller.
Dikabarkan Serangan Ini Sudah Berhasil Menginfeksi 140 Perusahaan
Setelah melakukan analisis forensik, peneliti Kaspersky menemukan bahwa penyerang memanfaatkan Windows PowerShell. Yang mana digunakan untuk memuat kode meterpreter langsung ke memori daripada menulisnya ke disk.
Penyerang juga menggunakan jaringan netsh Microsoft untuk mendirikan sebuah proxy tunnel. Yang mana untuk berkomunikasi dengan command-and-control (C&C) server dan mengendalikan host yang terinfeksi dari jauh.
Tujuan akhir dari penyerang tampaknya ditujukan untuk mengorbankan komputer yang mengendalikan ATM. Sehingga penyerang bisa mencuri uang.
Serangan ini sudah melanda jaringan lebih dari 140 perusahaan di sektor bisnis. Dengan sebagian besar korban berada di AS, Prancis, Ekuador, Kenya, Inggris, dan Rusia. Dan karena serangan ini begitu sulit dipecahkan, mungkin jumlah sebenarnya mungkin jauh lebih tinggi.
