#botnet, Dyre dan Dridex menempati peringkat pertama dan ketiga ranking botnet perbankan yang saat ini bertebaran bebas di internet, versi terbaru menggunakan teknik yang berbeda, seperti diinformasikan oleh IBM bahwa botnet ini sekarang telah menginjak versi 3.161 dan telah menyerang Inggris pada tanggal 6 Januari 2016 beberapa waktu lalu.
Versi Dridex dirilis melalui infrastruktur botnet Andromeda dan menyebar melalui faktur palsu yang dikirim melalui email spam dengan format Word. User yang mendownload dan membuka file-file ini akan diminta untuk mengaktifkan fitur makro Word yang secara diam-diam akan men-download dan menginstal trojan Dridex. Serangan Dridex mirip dengan Dyre yaitu menggunakan teknik "redirection attacks." Sebelumnya, Dridex akan menggunakan teknik injeksi Web untuk mengambil alih halaman Web bank dan mencuri data kredensial pengguna.
Dyre juga menggunakan serangan pengalihan dengan mendirikan proxy lokal. Proxy akan mengendus permintaan HTTP dan mengarahkan pengguna ke server penyerang dimana replika dari situs bank akan menjadi host. Serangan penglaihan tersebut juga digunakan oleh Dridex, hanya saja tidak menggunakan Proxy Lokal namun menggunakan DNS poisoning (DNS spoofing), Dalam DNS poisoning, malware Dridex mencari entri DNS cache lokal. Entri DNS adalah file yang menyimpan rincian yang mengikat website ke alamat IP yang kemudian menggantinya dengan alamat IP palsu berupa alamat replika dari situs bank.
Berdasarkan apa yang user coba lakukan di dalam rekening bank mereka, situs-situs palsu menyediakan halaman replika realistis tetapi juga log semua rincian pengguna atau membajak transaksi perbankan untuk keledai rekening dari mana uang itu dengan cepat dikosongkan. IBM mencatat bahwa situs replika ini mampu menangani token, second passwords, menjawab pertanyaan rahasia, dan bahkan kode otentikasi untuk mengelabuhi korban. Para peneliti juga mengamati bahwa pada minggu pertama, operator Dridex hanya menargetkan dua bank di Inggris namun pada minggu kedua daftar bank diperluas mencapai 13 website replika.
Versi Dridex dirilis melalui infrastruktur botnet Andromeda dan menyebar melalui faktur palsu yang dikirim melalui email spam dengan format Word. User yang mendownload dan membuka file-file ini akan diminta untuk mengaktifkan fitur makro Word yang secara diam-diam akan men-download dan menginstal trojan Dridex. Serangan Dridex mirip dengan Dyre yaitu menggunakan teknik "redirection attacks." Sebelumnya, Dridex akan menggunakan teknik injeksi Web untuk mengambil alih halaman Web bank dan mencuri data kredensial pengguna.
Dyre juga menggunakan serangan pengalihan dengan mendirikan proxy lokal. Proxy akan mengendus permintaan HTTP dan mengarahkan pengguna ke server penyerang dimana replika dari situs bank akan menjadi host. Serangan penglaihan tersebut juga digunakan oleh Dridex, hanya saja tidak menggunakan Proxy Lokal namun menggunakan DNS poisoning (DNS spoofing), Dalam DNS poisoning, malware Dridex mencari entri DNS cache lokal. Entri DNS adalah file yang menyimpan rincian yang mengikat website ke alamat IP yang kemudian menggantinya dengan alamat IP palsu berupa alamat replika dari situs bank.
Berdasarkan apa yang user coba lakukan di dalam rekening bank mereka, situs-situs palsu menyediakan halaman replika realistis tetapi juga log semua rincian pengguna atau membajak transaksi perbankan untuk keledai rekening dari mana uang itu dengan cepat dikosongkan. IBM mencatat bahwa situs replika ini mampu menangani token, second passwords, menjawab pertanyaan rahasia, dan bahkan kode otentikasi untuk mengelabuhi korban. Para peneliti juga mengamati bahwa pada minggu pertama, operator Dridex hanya menargetkan dua bank di Inggris namun pada minggu kedua daftar bank diperluas mencapai 13 website replika.
0 comments:
Post a Comment