Sebagian besar sampel LokiBot adalah versi malware asli yang “dibajak”

Sebagian besar sampel LokiBot adalah versi malware asli yang “dibajak”

Ternyata sebagian besar sampel malware LokiBot yang didistribusikan di jagad dunia maya adalah versi modifikasi dari sampel asli, seorang peneliti keamanan telah belajar.

Menargetkan pengguna sejak 2015, LokiBot adalah pencuri password dan cryptocoin-wallet yang dapat mengumpulkan kredensial dari berbagai browser web populer, FTP, poker dan klien email, serta alat administrasi TI seperti PuTTY.

Malware LokiBot asli dikembangkan dan dijual oleh alias online “lokistov,” alias “Carter,” di beberapa forum peretasan bawah tanah hingga $ 300, tetapi kemudian beberapa peretas lain di web yang gelap juga mulai menjual malware yang sama dengan harga lebih rendah (seperti serendah $ 80).

Diyakini bahwa kode sumber untuk LokiBot bocor yang mungkin telah memungkinkan orang lain untuk mengkompilasi pencuri versi mereka sendiri.

Namun, seorang peneliti yang menggunakan alias “d00rt” di Twitter menemukan bahwa seseorang membuat sedikit perubahan (menambal) di sampel LokiBot asli, tanpa memiliki akses ke kode sumbernya, yang memungkinkan peretas lain mendefinisikan domain khusus mereka sendiri untuk menerima data yang dicuri.

Hackers Are Actively Spreading “Hijacked” Versions of LokiBot

LokiBot

Peretas Secara Aktif Menyebarkan Versi LokiBot yang “Dibajak”

Peneliti menemukan bahwa lokasi server C & C dari malware, tempat data yang dicuri harus dikirim, telah disimpan di lima tempat dalam program — empat di antaranya dienkripsi menggunakan algoritma Triple DES dan yang satu menggunakan cipher XOR sederhana.

Malware ini memiliki fungsi, yang disebut “Decrypt3DESstring,” yang digunakan untuk mendekripsi semua string terenkripsi dan mendapatkan URL server perintah-dan-kontrol.

Peneliti menganalisis sampel LokiBot baru dan membandingkannya dengan sampel asli yang lama, dan menemukan bahwa fungsi Decrypt3DESstring dalam sampel baru telah dimodifikasi dengan cara yang selalu mengembalikan nilai dari string yang dilindungi XOR, bukan string Triple DES.

“The 3DES protected URLs are always the same in the all of the LokiBot samples of this [new] version,” the researcher said.

“In addition, those URLs are never used. Decrypt3DESstring returns a 3DES decrypted buffer. This should be the ideal behavior of this function, but as was described before, each time Decrypt3DESstring is called, it returns a decrypted url with XOR or encrypted url with XOR.”

Perubahan ini memungkinkan siapa pun dengan sampel baru LokiBot untuk mengedit program, menggunakan editor HEX sederhana, dan menambahkan URL khusus mereka sendiri untuk menerima data yang dicuri.

Namun, tidak jelas mengapa pembuat malware asli juga menyimpan URL server K & C yang sama dalam string yang dienkripsi oleh cipher XOR yang kurang aman, bahkan ketika itu tidak diperlukan.

Banyak sampel LokiBot yang berbeda saat ini didistribusikan di alam liar dan tersedia untuk dijual di pasar bawah tanah dengan harga yang sangat rendah juga telah ditambal dengan cara yang sama oleh beberapa peretas.

Sementara itu, penulis asli LokiBot telah meluncurkan versi baru 2.0 dan menjualnya secara daring di banyak forum.

Fungsi dekripsi juga digunakan untuk mendapatkan nilai registri yang diperlukan untuk membuat malware tetap ada pada sistem, tetapi karena setelah menambal fungsi dekripsi hanya mengembalikan URL, sampel LokiBot yang baru gagal untuk dimulai ulang setelah perangkat melakukan boot ulang.

Untuk mengetahui lebih banyak rincian teknis tentang sampel baru, Anda dapat menuju ke makalah penelitian [PDF] yang diterbitkan oleh para peneliti di GitHub.

Related Posts
Leave a reply
Captcha Click on image to update the captcha .