Peneliti keamanan sekarang telah menemukan setidaknya satu kelompok penjahat cyber yang mencoba memberikan trojan perbankannya kemampuan menyebarkan worm yang menyebar sendiri.
Versi baru dari trojan perbankan TrickBot, yang dikenal sebagai “1000029” (v24), telah ditemukan mengeksploitasi Windows Server Message Block (SMB) – yang mana digunakan oleh WannaCry dan Petya untuk penyebaran ke seluruh dunia dengan cepat.
Trojan perbankan TrickBot ini telah menargetkan lembaga keuangan di seluruh dunia sejak tahun lalu.
Trojan ini umumnya menyebar melalui lampiran email yang meniru faktur dari “lembaga keuangan internasional” yang tidak disebutkan namanya, namun sebenarnya membawa korban ke halaman login palsu yang digunakan untuk mencuri kredensial.
Pekan lalu, periset di Flashpoint, yang telah terus-menerus melacak aktivitas TrickBot dan targetnya, telah menemukan bahwa trojan perbankan TrickBot baru saja berevolusi untuk menyebar secara lokal melalui jaringan melalui Server Message Block (SMB).
Sejak versi baru TrickBot masih diuji, fitur baru tidak sepenuhnya diimplementasikan oleh penyerang di balik trojan ini. Juga tidak memiliki kemampuan untuk memindai secara acak IP eksternal untuk koneksi SMB, tidak seperti WannaCry yang mengeksploitasi kerentanan yang dijuluki EternalBlue.
Peneliti Flashpoint mengatakan bahwa trojan tersebut dimodifikasi untuk memindai domain dari daftar server yang rentan melalui API Windows NetServerEnum dan menghitung komputer lain di jaringan melalui Lightweight Directory Access Protocol (LDAP).
Varian TrickBot yang baru juga bisa disamarkan sebagai ‘setup.exe’ dan dikirim melalui skrip PowerShell untuk menyebar melalui komunikasi interproses dan mendownload versi tambahan TrickBot ke share drive.
Menurut para periset, penemuan terbaru varian TrickBot memberikan wawasan tentang apa yang mungkin dilakukan oleh operator di balik malware dalam waktu dekat.
“Flashpoint menilai dengan keyakinan moderat bahwa Trickbot kemungkinan akan terus membangun kekuatan yang hebat dalam waktu dekat,” kata Vitali Kremez, direktur peniliti di Flashpoint.
“Meskipun modul worm tampak agak kasar dalam keadaan sekarang, jelaslah bahwa Trickbot mengetahui dari wabahransomware global seperti wabah WannaCry dan ‘NotPetya’ dan mencoba untuk meniru metodologi mereka.”
Untuk melindungi terhadap infeksi malware tersebut, kamu harus selalu curiga terhadap file dan dokumen mencurigakan yang dikirim melalui email dan tidak boleh mengeklik tautan di dalamnya kecuali memverifikasi sumbernya.
Untuk selalu memastikan keamanan data berharga, simpanlah secara rutin back-up di tempat yang membuat salinan mereka ke perangkat penyimpanan eksternal yang tidak selalu terhubung ke PC.
Selain itu, pastikan menjalankan paket keamanan anti-virus yang efektif di sistem, dan tetap up-to-date.
