PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Carbanak, Salah satu komplotan penjahat cyber yang paling sukses. Karena mereka dikenal sebagai pelaku atas pencurian satu miliar dolar dari 100 bank lebih di 30 negara pada tahun 2015. Dan dikabarkan kali ini mereka kembali. Carbanak kali ini ditemukan bahwa sudah menyalahgunakan berbagai layanan Google. Yang mana layanan tersebut mereka gunakan untuk mengeluarkan komunikasi command-and-control (C&C). Dan untuk mengendalikan malware agar victim-machine tidak curiga.

Forcepoint Security Labs mengatakan bahwa ada pengeksplotasian aktif yang dikirim dalam pesan. Yang mana pesan tersebut merupakan phising sebagai lampiran RTF. Mereka menemukan bahwa komplotan Carbanak bersembunyi di situs biasa dengan menggunakan layanan Google untuk C&C.

Carbanak terus mencari teknik stealth untuk menghindari deteksi,” kata peneliti kemanan senior Forcepoint, Nicholas Griffin dalam sebuah posting blog. “Menggunakan Google sebagai C&C channel independen cenderung lebih sukses daripada menggunakan domain atau domain baru yang dibuat tanpa reputasi.

VBScript Malware Disisipkan Dalam Dokumen RTF

Dokumen RTF memiliki objek OLE yang berisi VBScript (Visual Basic Script), yang sebelumnya dikaitkan dengan malware Carbanak. Dan menggunakan rekayasa sosial untuk mengelabui korban agar mengklik gambar amplop untuk membuka isinya.


Ternyata gambar amplop sebenarnya menyembunyikan objek tertanam OLE. Sehingga setelah korban double-klik gambar tersebut, kotak dialog terbuka menanyakan apakah korban ingin menjalankan unprotected.vbe berkas atau tidak.

Carbanak

Jika korban menjalankan file, VBScript malware akan dijalankan. Dan menurut Forcepoint, malware akan mengirim dan menerima perintah dari dan ke Google Apps Script, Google Spreadsheet, dan Google Formulir.

Selain VBScript malware, peneliti Forcepoint juga menemukan modul ‘ggldr’. Sebuah script baru yang dikodekan dalam file VBScript utama bersama dengan berbagai modul VBScript lainnya. Yang mana mampu menggunakan layanan Google sebagai C&C channel.


Just a simple person who like photography, videography, code, and cyber security enthusiast.