Bazar Backdoor: Difference between revisions

Line 9:

==Cara Kerjanya==

[[File:Bazar12.png|thumb|right|300px]]Biasanya phishing akan mengarahkan calon korban ke situs web menggunakan merek Adobe dan meminta pengguna mengklik tombol untuk melihat pratinjau file .PDF. Namun, jika Anda mengarahkan kursor ke tautan, awalan "ms-appinstaller" akan ditampilkan.

"Untuk menjalankan infeksi ini, saya menyadari bahwa konstruksi URL ini memicu browser '''dalam kasus saya, browser Microsoft's Edge di Windows 10''', untuk memanggil alat yang digunakan oleh aplikasi Windows Store, yang disebut <code>AppInstaller.exe</code>, untuk mengunduh dan menjalankan apa pun yang ada di ujung lain tautan itu," jelas peneliti Sophos, Andrew Brandt.

Pada gilirannya, tautan ini mengarah ke file teks, bernama <code>Adobe.appinstaller</code>, yang kemudian mengarah ke file yang lebih besar yang dihosting di URL terpisah, <code>Adobe_1.7.0.0_x64appbundle</code>.

Prompt peringatan kemudian muncul serta pemberitahuan bahwa perangkat lunak telah ditandatangani secara digital dengan sertifikat yang dikeluarkan beberapa bulan yang lalu. (Sophos telah membuat otoritas sertifikat dan menyadari penyalahgunaan).

Korban kemudian diminta untuk mengizinkan penginstalan "Adobe PDF Component," dan jika mereka memberikan izin, malware BazarBackdoor disebarkan dan dieksekusi dalam hitungan detik.

BazarBackdoor, mirip dengan BazarLoader, berkomunikasi melalui HTTPS tetapi merupakan program jahat yang khas karena jumlah lalu lintas bising yang dihasilkan oleh pintu belakang. BazarBackdoor mampu mengekstrak data sistem dan telah ditautkan ke Trickbot, serta potensi penyebaran ransomware Ryuk.

"Malware yang datang dalam bundel penginstal aplikasi tidak biasa terlihat dalam serangan," kata Brandt. "Sayangnya, sekarang prosesnya telah didemonstrasikan, kemungkinan akan menarik minat yang lebih luas. Perusahaan keamanan dan vendor perangkat lunak perlu memiliki mekanisme perlindungan untuk mendeteksi dan memblokirnya serta mencegah penyerang menyalahgunakan sertifikat digital."

==Source==

@@ Line 9: / Line 9: @@
 ==Cara Kerjanya==
 [[File:Bazar12.png|thumb|right|300px]]Biasanya phishing akan mengarahkan calon korban ke situs web menggunakan merek Adobe dan meminta pengguna mengklik tombol untuk melihat pratinjau file .PDF. Namun, jika Anda mengarahkan kursor ke tautan, awalan "ms-appinstaller" akan ditampilkan.
+"Untuk menjalankan infeksi ini, saya menyadari bahwa konstruksi URL ini memicu browser '''dalam kasus saya, browser Microsoft's Edge di Windows 10''', untuk memanggil alat yang digunakan oleh aplikasi Windows Store, yang disebut <code>AppInstaller.exe</code>, untuk mengunduh dan menjalankan apa pun yang ada di ujung lain tautan itu," jelas peneliti Sophos, Andrew Brandt.
+Pada gilirannya, tautan ini mengarah ke file teks, bernama <code>Adobe.appinstaller</code>, yang kemudian mengarah ke file yang lebih besar yang dihosting di URL terpisah, <code>Adobe_1.7.0.0_x64appbundle</code>.
+Prompt peringatan kemudian muncul serta pemberitahuan bahwa perangkat lunak telah ditandatangani secara digital dengan sertifikat yang dikeluarkan beberapa bulan yang lalu. (Sophos telah membuat otoritas sertifikat dan menyadari penyalahgunaan).
+Korban kemudian diminta untuk mengizinkan penginstalan "Adobe PDF Component," dan jika mereka memberikan izin, malware BazarBackdoor disebarkan dan dieksekusi dalam hitungan detik.
+BazarBackdoor, mirip dengan BazarLoader, berkomunikasi melalui HTTPS tetapi merupakan program jahat yang khas karena jumlah lalu lintas bising yang dihasilkan oleh pintu belakang. BazarBackdoor mampu mengekstrak data sistem dan telah ditautkan ke Trickbot, serta potensi penyebaran ransomware Ryuk.
+"Malware yang datang dalam bundel penginstal aplikasi tidak biasa terlihat dalam serangan," kata Brandt. "Sayangnya, sekarang prosesnya telah didemonstrasikan, kemungkinan akan menarik minat yang lebih luas. Perusahaan keamanan dan vendor perangkat lunak perlu memiliki mekanisme perlindungan untuk mendeteksi dan memblokirnya serta mencegah penyerang menyalahgunakan sertifikat digital."
 ==Source==