Para penjahat cyber di balik kampanye phishing baru-baru ini menggunakan dokumen Norton LifeLock palsu. Dalam rangka untuk menipu korban untuk menginstal akses remote Trojan (RAT) pada sistem mereka.
Infeksi dimulai dengan dokumen Microsoft Word yang berisi macro berbahaya. Namun, untuk mendapatkan pengguna mengaktifkan Macro, yang dinonaktifkan secara default. Di balik kampanyenya aktor menggunakan dokumen palsu Norton LifeLock yang dilindungi sandi.
Korban diminta untuk mengaktifkan macro dan mengetikkan kata sandi, yang disediakan dalam email phishing yang berisi dokumen palsu Norton LifeLock.
Untuk mendapatkan akses ke sana. Palo Alto Networks ‘ unit 42, yang menemukan kampanye tersebut. Juga menemukan bahwa kotak dialog sandi hanya menerima huruf besar atau huruf kecil ‘ C ‘. Jika sandi salah, tindakan berbahaya tidak berlanjut.
- Malware Android dapat mencuri kode Google Authenticator 2FA
- Bahaya! Asia Tenggra menjadi Target Serangan Cyber
Jika pengguna tidak memasukkan sandi yang benar. Makro terus mengeksekusi dan membangun perintah string yang menginstal software remote control yang sah. Ini contoh kejamnya serangan yang memanfaatkan Norton LifeLock.
Establishing persistence (Membangun Kegigihan) untuk Norton LifeLock
Biner RAT diunduh dan diinstal ke mesin pengguna dengan bantuan dari perintah ‘ msiexec ‘ dalam Layanan penginstal Windows.
Dalam laporan baru, para peneliti di Palo Alto Networks ‘ unit 42 menjelaskan. Bahwa muatan MSI dapat menginstal file tanpa peringatan dan menambahkan skrip PowerShell di Windows temp folder. Ini digunakan untuk persistensi dan skrip memainkan peran solusi cadangan untuk menginstal NetSupport Manager.
Sebelum skrip (dokumen palsu Norton LifeLock) melanjutkan operasinya, ia memeriksa untuk melihat apakah antivirus dari avast atau AVG diinstal pada sistem. Jika hal ini terjadi, maka akan berhenti pada komputer korban.
Jika skrip menemukan bahwa program ini tidak ada pada mesin. Itu menambahkan file yang diperlukan b NetSupport Manager ke folder dengan nama acak. Dan juga menciptakan kunci registri untuk executable utama bernama ‘presentationhost[.]exe‘ untuk ketekunan.
Unit 42 pertama kali menemukan kampanye di awal Januari. Dan para peneliti kembali melacak aktivitas terkait pada November 2019. Yang menunjukkan bahwa kampanye adalah bagian dari operasi yang lebih besar dengan adanya Norton LifeLock palsu.
Pastikan perangkat Anda dilindungi dengan perangkat lunak antivirus terbaik.
