Peneliti keamanan telah menemukan bentuk malware baru yang canggih berdasarkan Trojan perbankan Zeus yang terkenal yang mencuri lebih dari sekadar rincian rekening bank.
Dijuluki Terdot, trojan perbankan telah ada sejak pertengahan 2016 dan pada awalnya dirancang untuk beroperasi sebagai proxy untuk melakukan serangan man-in-the-middle (MitM), mencuri informasi penjelajahan seperti informasi kartu kredit tersimpan dan kredensial login dan suntikan Kode HTML ke halaman web yang dikunjungi
Namun, periset di perusahaan keamanan BitDefender telah menemukan bahwa trojan perbankan sekarang telah dirubah dengan kemampuan spionase baru seperti memanfaatkan alat sumber terbuka untuk menipu sertifikat SSL agar dapat mengakses media sosial dan akun email dan bahkan mengirimkannya atas nama pengguna yang terinfeksi
Terdot trojan perbankan melakukan ini dengan menggunakan proxy man-in-the-middle (MITM) yang sangat disesuaikan yang memungkinkan malware mencegat lalu lintas pada komputer yang terinfeksi.
Selain itu, varian baru Terdot ini bahkan menambahkan kemampuan update otomatis yang memungkinkan malware mendownload dan mengeksekusi file sesuai permintaan operatornya.
Biasanya, Terdot membidik situs-situs perbankan dari berbagai institusi Kanada seperti Royal Bank, Banque Nationale, PCFinancial, Desjardins, BMO (Bank of Montreal) dan Scotiabank antara lain.
Trojan ini bisa mencuri akun Facebook, Twitter dan Gmail Anda
Namun, menurut analisis terbaru, Terdot dapat menargetkan jaringan media sosial termasuk Facebook, Twitter, Google Plus, dan YouTube, dan penyedia layanan email termasuk Gmail Google, Microsoft Live.com, dan Yahoo Mail.
Menariknya, malware tersebut menghindari pengumpulan data terkait platform media sosial terbesar Rusia VKontakte (vk.com), Bitdefender mencatat. Hal ini menunjukkan aktor Eropa Timur mungkin berada di balik varian baru tersebut.
Trojan perbankan sebagian besar didistribusikan melalui situs web yang dikompromikan dengan Sunwown Exploit Kit, namun para periset juga mengamati bahwa hal itu tiba di email berbahaya dengan tombol ikon PDF palsu.
Jika diklik, ia menjalankan kode JavaScript yang dikacaukan yang mendownload dan menjalankan file perangkat lunak perusak. Untuk menghindari deteksi, Trojan menggunakan rangkaian droppers, suntikan, dan pengunduh kompleks yang memungkinkan download Terdot berkeping-keping.
Setelah terinfeksi, Trojan menyuntikkan dirinya ke dalam proses browser untuk mengarahkan koneksi ke proxy Web-nya sendiri, membaca lalu lintas dan menyuntikkan spyware. Hal ini juga dapat mencuri info otentikasi dengan memeriksa permintaan korban atau menyuntikkan kode Javascript spyware dalam tanggapannya.
Terdot juga dapat memotong batasan yang diberlakukan oleh TLS (Transport Layer Security) dengan menghasilkan Otoritas Sertifikat (CA) sendiri dan membuat sertifikat untuk setiap domain yang dikunjungi korban.
Setiap data yang dikirim korban ke bank atau akun media sosial kemudian dapat dicegat dan dimodifikasi oleh Terdot secara real-time, yang juga memungkinkannya menyebar dengan mengirimkan tautan palsu ke akun media sosial lainnya.
“Terdot adalah malware yang kompleks, dibangun di atas warisan Zeus,” Bitdefender menyimpulkan. “Fokusnya pada memanen kredensial untuk layanan lain seperti jaringan sosial dan layanan email dapat mengubahnya menjadi alat spionase cyber yang sangat hebat yang sangat sulit dikenali dan dibersihkan.”
BitDefender telah melacak varian baru Trojan Trojan Terdot sejak diluncurkan kembali pada bulan Oktober tahun lalu. Untuk rincian lebih lanjut tentang ancaman baru ini, Anda dapat melanjutkan ke makalah teknis (PDF) yang diterbitkan oleh perusahaan keamanan.
