Ancaman Black Basta: Phishing dan Malware SystemBC

Sebuah kampanye rekayasa sosial yang sedang berlangsung diduga berhubungan dengan kelompok ransomware Black Basta dan telah diidentifikasi dalam berbagai serangan yang bertujuan mencuri kredensial serta menyebarkan malware bernama SystemBC. Dalam kampanye ini, pelaku ancaman mengirimkan sejumlah besar email kepada target, kemudian mencoba menghubungi mereka melalui saluran komunikasi seperti Microsoft Teams, sambil berpura-pura menjadi bagian dari internal perusahaan. Hal ini dilakukan untuk meningkatkan kepercayaan korban.

Pelaku menggunakan manipulasi psikologis untuk membuat korban mengunduh dan menginstal perangkat lunak akses jarak jauh yang sah seperti AnyDesk. Namun, setelah diinstal, perangkat lunak tersebut disalahgunakan oleh pelaku untuk mengakses komputer korban dari jarak jauh, menyebarkan malware tambahan, dan mencuri data sensitif. Salah satu trik yang digunakan adalah mengirimkan file eksekusi bernama "AntiSpam.exe", yang dikemas seolah-olah sebagai alat untuk mengunduh filter spam email. Padahal, file ini meminta pengguna memasukkan kredensial Windows mereka dalam proses pembaruan yang sebenarnya palsu.

Setelah langkah awal dari serangan siber, pelaku menjalankan beberapa file biner, file DLL, dan skrip PowerShell. Ini termasuk beacon HTTP berbasis Golang yang menghubungkan dengan server jarak jauh, proxy SOCKS untuk menyembunyikan lalu lintas, serta malware SystemBC yang memberikan akses lebih lanjut ke sistem yang terinfeksi.

Untuk mengurangi risiko serangan ini, disarankan agar organisasi memblokir penggunaan perangkat lunak desktop jarak jauh yang tidak disetujui dan berhati-hati terhadap komunikasi mencurigakan yang mengklaim berasal dari staf IT internal.

Laporan ini muncul bersamaan dengan peningkatan aktivitas beberapa pemuat malware populer lainnya pada tahun 2024, termasuk SocGholish (alias FakeUpdates), GootLoader, dan Raspberry Robin. Data dari ReliaQuest menunjukkan bahwa pemuat ini sering digunakan sebagai langkah awal dalam serangan ransomware yang menargetkan jaringan korban. GootLoader, yang baru-baru ini menjadi salah satu dari tiga pemuat malware teratas, menggantikan QakBot yang aktivitasnya menurun.

Pemuat malware ini biasanya diperjualbelikan di forum-forum kejahatan siber di dark web, seperti XSS dan Exploit. Pemuat ini dijual kepada penjahat dunia maya lainnya yang ingin memfasilitasi penyusupan jaringan dan penyebaran muatan berbahaya. Model bisnis berbasis langganan sering digunakan, di mana pengguna membayar biaya bulanan untuk mendapatkan akses ke pembaruan rutin, dukungan, dan fitur-fitur baru yang dirancang untuk menghindari deteksi. Ini memungkinkan pelaku ancaman dengan keterampilan teknis terbatas melakukan serangan yang canggih.

Serangan phishing yang teramati juga telah mengirimkan malware pencuri informasi yang dikenal sebagai 0bj3ctivity Stealer melalui pemuat lain yang disebut Ande Loader. Serangan ini merupakan bagian dari strategi distribusi berlapis-lapis. Menurut eSentire, distribusi malware ini sering kali melibatkan skrip yang disamarkan dan dienkripsi, teknik injeksi memori, serta peningkatan Ande Loader dengan fitur-fitur seperti anti-debugging dan pengaburan string. Hal ini menunjukkan pentingnya deteksi yang canggih dan penelitian berkelanjutan untuk melawan ancaman ini.

Kampanye ini adalah bagian dari gelombang serangan phishing dan rekayasa sosial yang meningkat dalam beberapa minggu terakhir. Pelaku ancaman semakin sering menggunakan taktik baru, seperti kode QR palsu, untuk mencapai tujuan jahat mereka. Contoh kampanye lainnya termasuk:

• ClearFake, yang menyebarkan malware.
• NET melalui halaman web yang disusupi dengan kedok pembaruan Google Chrome.
• Serangan phishing bertema lowongan kerja yang menyebarkan berbagai jenis Remote Access Trojan (RAT) seperti AsyncRAT dan Pure HVNC.
• Kampanye yang menggunakan situs web palsu yang menyamar sebagai bank ternama untuk menyebarkan perangkat lunak Remote Monitoring and Management (RMM) AnyDesk kepada pengguna Windows dan macOS, yang kemudian digunakan untuk mencuri data sensitif.

Selain itu, ada situs web palsu yang mendistribusikan WinRAR untuk menyebarkan ransomware, penambang kripto, dan pencuri informasi bernama Kematian Stealer yang dihosting di GitHub. Serangan unduhan drive-by yang menggunakan iklan berbahaya atau situs web yang disusupi juga telah menyebarkan NetSupport RAT. Sementara itu, kampanye malvertising di media sosial yang membajak halaman Facebook untuk mempromosikan situs web editor foto berbasis AI melalui iklan berbayar juga ditemukan, dengan tujuan akhir untuk mengelabui korban agar mengunduh alat RMM ITarian dan menggunakan alat tersebut untuk menyebarkan Lumma Stealer.

Peneliti dari Trend Micro menekankan bahwa serangan yang menargetkan pengguna media sosial ini menunjukkan pentingnya penerapan langkah-langkah keamanan yang kuat untuk melindungi kredensial akun dan mencegah akses tidak sah.