Terungkap! Pelaku Ancaman Malware Vidar Ubah Strategi Serangan
Berita Cybersecurity, Analisa Malware Vidar - Kelompok peneliti keamanan siber baru-baru ini mengungkapkan perkembangan terbaru dalam kegiatan malware Vidar. Pelaku ancaman di balik malware ini tampaknya telah melakukan perubahan signifikan pada infrastruktur backend mereka. Perubahan ini menunjukkan adanya upaya untuk meningkatkan kemampuan mereka dan menyembunyikan jejak online mereka sebagai respons terhadap pengungkapan publik tentang cara kerja mereka.
Tim Cymru, sebuah perusahaan keamanan siber, baru-baru ini membagikan analisis terbaru mereka kepada The Hacker News. Dalam analisis tersebut, mereka melaporkan bahwa pelaku ancaman Vidar terus melakukan rotasi pada infrastruktur IP backend mereka. Mereka juga menggunakan penyedia layanan di Moldova dan Rusia sebagai dukungan. Tim Cymru juga mengungkapkan bahwa Vidar adalah jenis malware pencuri informasi komersial yang telah aktif sejak akhir 2018. Vidar sebenarnya adalah varian dari malware pencuri lain yang dikenal sebagai Arkei. Malware ini dijual dengan harga antara $130 hingga $750, tergantung pada tingkat langganan yang diinginkan oleh pembeli.
Biasanya, Vidar dikirimkan melalui kampanye phishing atau melalui situs yang mempromosikan perangkat lunak yang telah diretas. Malware ini memiliki kemampuan yang beragam untuk mengambil informasi sensitif dari komputer yang terinfeksi. Vidar juga diketahui didistribusikan melalui iklan nakal di Google Ads dan melalui pemuat malware yang dikenal dengan nama Bumblebee.
Dalam laporan mereka yang diterbitkan pada awal Januari, Tim Cymru mencatat bahwa pelaku ancaman Vidar telah membagi infrastruktur mereka menjadi dua bagian. Satu bagian didedikasikan untuk pelanggan biasa mereka, sementara yang lainnya digunakan oleh tim manajemen dan pengguna yang memiliki status premium atau penting.
Domain utama yang digunakan oleh pelaku ancaman Vidar adalah my-odin[.]com. Domain ini digunakan sebagai tujuan terpadu untuk mengelola panel, mengautentikasi afiliasi, dan berbagi file. Sebelumnya, pengguna dapat mengunduh file dari situs tersebut tanpa perlu melakukan proses autentikasi. Namun, sekarang, pengguna yang ingin melakukan hal yang sama akan diarahkan ke halaman login. Selain itu, terdapat juga pembaruan alamat IP yang menghosting domain tersebut.
Tim Cymru mencatat, "Perubahan termasuk perpindahan dari alamat IP 186.2.166[.]15 ke 5.252.179[.]201, dan akhirnya ke 5.252.176[.]49 pada akhir Maret 2023. Pelaku ancaman menggunakan server VPN untuk mengakses alamat IP terakhir hampir secara bersamaan."
Dengan menggunakan infrastruktur VPN yang juga digunakan oleh banyak pengguna lain, pelaku ancaman Vidar berusaha menyembunyikan aktivitas manajemen mereka dalam kerumunan internet. Hal ini menjadi jelas bahwa mereka sedang mengambil langkah-langkah untuk mencampuradukkan jejak mereka.
Selain itu, perusahaan keamanan siber juga melacak koneksi keluar dari alamat IP 5.252.176[.]49 ke situs web yang sah, yaitu blunk[.]co, serta ke host yang terletak di Rusia dengan alamat IP 185.173.93[.]98 pada port 443.
Pada tanggal 3 Mei 2023, infrastruktur Vidar ditemukan telah diperbarui. Alamat IP baru, yaitu 185.229.64[.]137, digunakan untuk menghosting domain my-odin[.]com. Operator Vidar juga diketahui menggunakan jaringan relai TOR untuk mengakses akun dan repositori malware mereka.
Temuan ini memberikan wawasan lebih lanjut tentang operasi "di balik layar" Vidar. Hal ini menunjukkan evolusi infrastruktur manajemen mereka dan juga tindakan yang diambil oleh pelaku ancaman untuk menyembunyikan jejak mereka, demikian pernyataan dari perusahaan keamanan tersebut.
Posting Komentar untuk "Terungkap! Pelaku Ancaman Malware Vidar Ubah Strategi Serangan"