Darktrace menandai aktivitas enkripsi baru yang dapat melewati Windows Defender

Bursa Koin melaporkan, perusahaan keamanan siber Darktrace telah menemukan aktivitas cryptojacking baru yang bertujuan untuk melewati Windows Defender dan menginstal perangkat lunak penambangan kripto. Peneliti Darktrace, Keanna Grelicha dan Tara Gould, menjelaskan dalam laporan yang dibagikan dengan crypto.news bahwa aktivitas cryptojacking ini pertama kali ditemukan pada akhir Juli, melibatkan rantai infeksi multi-tahap yang diam-diam mengambil alih kemampuan pemrosesan komputer untuk menambang aset kripto. Para peneliti menyatakan bahwa aktivitas ini secara khusus menargetkan sistem berbasis Windows, dengan memanfaatkan PowerShell (shell command dan bahasa skrip bawaan Microsoft) untuk memungkinkan pelaku jahat menjalankan skrip berbahaya dan mendapatkan akses privilese ke sistem host. Skrip berbahaya ini dirancang untuk berjalan langsung di dalam memori sistem (RAM), sehingga alat antivirus tradisional yang biasanya bergantung pada pemindaian file di hard drive sistem tidak dapat mendeteksi proses berbahaya. Selanjutnya, penyerang menggunakan bahasa pemrograman AutoIt (alat Windows yang biasanya digunakan oleh profesional TI untuk mengotomatiskan tugas) untuk menyuntikkan pemuat berbahaya ke dalam proses Windows yang sah, kemudian mengunduh dan mengeksekusi program penambangan kripto tanpa meninggalkan jejak yang jelas di sistem. Sebagai langkah pertahanan tambahan, pemuat tersebut diprogram untuk melakukan serangkaian pemeriksaan lingkungan, seperti memindai tanda-tanda lingkungan sandbox dan memeriksa produk antivirus yang terinstal di host. Hanya ketika Windows Defender adalah satu-satunya perlindungan yang aktif, eksekusi akan dilanjutkan. Selain itu, jika akun pengguna yang terinfeksi kekurangan hak administrasi, program tersebut akan mencoba untuk melewati kontrol akun pengguna untuk mendapatkan akses yang lebih tinggi. Ketika kondisi ini terpenuhi, program tersebut akan mengunduh dan mengeksekusi NBMiner, yang merupakan alat penambangan kripto terkenal yang menggunakan unit pemrosesan grafis komputer untuk menambang Ravencoin ( RVN ) dan Monero ( XMR ). Dalam hal ini, Darktrace mampu mengendalikan serangan melalui sistem respons otonom mereka dengan cara "memblokir perangkat dari membangun koneksi keluar dan memblokir koneksi tertentu dengan titik akhir yang mencurigakan". Para peneliti Darktrace menulis: "Seiring dengan semakin populernya aset kripto, seperti yang terlihat dari kapitalisasi pasar aset kripto global yang terus tinggi (dekat 4 triliun dolar saat artikel ini ditulis), pelaku ancaman akan terus melihat penambangan kripto sebagai aktivitas yang menguntungkan." Pada bulan Juli, Darktrace juga menandai aktivitas terpisah di mana pelaku jahat menggunakan strategi rekayasa sosial yang kompleks (seperti berpura-pura menjadi perusahaan nyata) untuk menipu pengguna agar mengunduh perangkat lunak yang dimodifikasi, yang akan menginstal malware yang mencuri aset kripto. Berbeda dengan rencana cryptojacking yang disebutkan di atas, metode ini menargetkan sistem Windows dan macOS secara bersamaan, dan dilaksanakan oleh korban yang tidak menyadari mereka sendiri, yang percaya bahwa mereka sedang berinteraksi dengan orang dalam perusahaan.