Serangan itu, yang dijuluki "Big Bang," dimulai dengan email phishing yang dikirim ke korban yang ditargetkan yang mencakup lampiran arsip self-extracting yang berisi dua file — dokumen Word dan executable yang berbahaya.
Berpose untuk menjadi dari Komisi Politik dan Bimbingan Nasional Palestina, dokumen Word berfungsi sebagai umpan untuk mengalihkan perhatian para korban sementara malware dipasang di latar belakang
Keliru yang dapat dijalankan, yang berjalan di latar belakang, bertindak sebagai malware pencuri info tahap pertama yang dirancang untuk pengumpulan intelijen untuk mengidentifikasi calon korban (atas dasar apa yang tidak jelas seperti yang sekarang), dan kemudian sesuai unduhan malware tahap kedua yang dirancang untuk spionase.
"Sementara analisis ... mengungkapkan kemampuan malware yang terlihat, kami cukup yakin itu adalah bagian dari serangan multi-bertahap yang menargetkan korban yang sangat spesifik," kata para peneliti di posting blog. "Malware di bawah ini adalah bagian dari tahap pengintaian dan harus mengarah ke jalur utama, yang sifatnya masih belum diketahui."
Malware ini mampu mengirimkan banyak informasi dari mesin yang terinfeksi ke server Komando dan Kontrol penyerang, termasuk screenshot dari komputer yang terinfeksi, daftar dokumen dengan ekstensi file termasuk .doc, .odt, .xls, .ppt, .pdf dan lainnya, dan mencatat detail tentang sistem.
Selain itu, malware juga menyertakan beberapa modul lagi untuk mengeksekusi file apa pun yang diterima dari server, menyebutkan proses yang berjalan, menghentikan proses yang berjalan berdasarkan nama, serta mengirim daftar partisi yang ditemukan pada komputer yang terinfeksi.
Malware ini juga mencakup modul untuk merusak dirinya sendiri dengan menghapus payload dari folder startup dan menghapus file yang sebenarnya, dan reboot sistem yang terinfeksi.
"Setelah meninjau semua fungsi malware, kami yakin mengatakan bahwa para penyerang mencari korban yang menjawab karakteristik yang terdefinisi dengan baik dan percaya bahwa tahap serangan lebih lanjut hanya disampaikan kepada mereka yang sesuai dengan profil korban tertentu," kata para peneliti.
Para peneliti percaya serangan-serangan ini dapat dikaitkan dengan kelompok APT Gaza Cybergang, kelompok cybercriminal bermotif bahasa Arab, yang bermotif politik, yang beroperasi sejak 2012 dan menargetkan organisasi minyak dan gas kawasan Timur Tengah Afrika Utara.
Namun, menurut para peneliti, masih belum dikonfirmasi secara pasti kelompok ancaman mana di belakang kampanye ini.
Tambahkan Komentar Sembunyikan