Baru-baru ini telah ditemukan adanya Trojan Windows yang dir ancang untuk membantu hacker menyebarkan MIRAI Malware.
MIRAI, salah satu ancaman malware berbasis IoT terbesar yang muncul tahun lalu. MIRAI berhasil menyebabkan internet menjadi down pada Oktober tahun lalu. Dengan meluncurkan serangan distributed denial-of-service (DDoS) terhadap penyedia DNS populer Dyn.
Mirai adalah program malware untuk perangkat internet-of-things (IoT) yang memiliki kerentanan. Lalu mengarahkan perangkat yang terinfeksi ke dalam jaringan botnet. Kemudian digunakan untuk memulai serangan DDoS. Mirai menyebarkan Telnet dengan menggunakan credential factory devices.
Perusahaan cyber security Dr.Web Menemukan Trojan Windows Penyebar MIRAI Malware
Para peneliti dari perusahaan cyber security Rusia, Dr.Web telah menemukan Trojan Windows yang dirancang untuk membantu hacker menyebarkan Mirai. Bahkan Mirai dapat disebarkan ke perangkat yang lebih banyak.
Dijuluki Trojan.Mirai.1, Trojan baru ini menargetkan komputer Windows dan memindai pengguna perangkat Linux yang terhubung di dalam jaringan.
Setelah terinstall pada komputer Windows, Trojan Windows menghubungkan ke command-and-control (C&C) server untuk mendownload file konfigurasi. File ini berisi berbagai alamat IP untuk mencoba otentikasi melalui beberapa port seperti 22 (SSH) dan 23 (Telnet ), 135, 445, 1433, 3306 dan 3389.
Otentikasi yang berhasil memungkinkan malware menjalankan perintah tertentu yang ditentukan dalam file konfigurasi, tergantung pada jenis sistem disusupi.
Dalam kasus sistem Linux yang diakses melalui protokol Telnet, Trojan mendownload file biner pada perangkat yang disusupi. Kemudian otomatis mendownload dan menjalankan file Linux.Mirai.
“Trojan.Mirai.1 Scanner dapat memeriksa beberapa port TCP secara bersamaan. Jika Trojan Windows berhasil menghubungkan ke penyerangan node melalui salah satu protokol yang tersedia. Kode dijalankan sesuai urutan perintah,” ujar salah satu konsultan perusahaan.
Setelah disusupi, Trojan Windows dapat menyebarkan dirinya ke perangkat Windows lainnya, membantu hacker membajak lebih banyak perangkat.
Selain itu, peneliti mencatat bahwa malware juga bisa mengidentifikasi dan membahayakan layanan database yang berjalan pada berbagai port. Termasuk MySQL dan Microsoft SQL untuk membuat admin baru “phpminds” dengan password “phpgodwith”. Ini bisa memungkinkan penyerang untuk mencuri database.
Pada saat ini tidak diketahui siapa yang menciptakannya. Tapi desain serangan menunjukkan bahwa perangkat IoT tidak langsung dapat diakses dari internet. Akan tetapi bisa juga terinfeksi yang mana bisa menyatu dengan Mirai Botnet.
