Di balik layar komunikasi C2C Mispadu (Ursa)

Mispadu, juga dikenal sebagai Ursa, adalah malware keuangan overlay jarak jauh yang menargetkan bank-bank di negara-negara berbahasa Spanyol dan Portugis seperti Meksiko, Kolombia, Argentina, Cile, Portugal, Spanyol, dan banyak lagi. Secara sederhana, malware overlay jarak jauh adalah program jahat yang dirancang untuk mengontrol sistem korban dengan mengendalikan perangkat mouse dan keyboard mereka sementara penipu melihat layar langsung korban.

Mispadu pertama kali muncul pada tahun 2019 dan muncul kembali pada tahun 2022. Seperti malware sejenisnya, Mekotio dan Grandoreiro, Mispadu ditulis dalam bahasa pemrograman Delphi. Tidak seperti malware lain, malware ini kurang umum digunakan, dan baru belakangan ini terdeteksi di beberapa negara Amerika Tengah, Amerika Latin dan Eropa. Untuk informasi lebih lanjut tentang Mekotio, lihat postingan blog kami sebelumnya - Trojan Perbankan Mekotio Menargetkan Amerika Latin.

Dengan kembali beredarnya Mispadu, ada beberapa perubahan dalam operasi, termasuk encoding komunikasi command and control (C2C), yang akan kita jelajahi dalam artikel ini.

Inisialisasi awal komunikasi C2C

Tujuan komunikasi C2C

Sebagai overlay jarak jauh, komunikasi malware dengan operatornya sangat penting untuk serangan yang berhasil. Komunikasi ini biasanya merupakan serangkaian perintah operasional yang ditransmisikan dari penipu ke program jahat yang berjalan di sistem korban.

Banyak serangan overlay, seperti mencuri uang korban melalui rekening bank mereka, dieksekusi sementara penipu mengamati dan mengontrol sesi langsung korban.

Gambar 1 - Layar penipu mengendalikan layar korban
Waktu komunikasi C2C

Meskipun mungkin tampak wajar jika komunikasi dengan penipu akan terjadi segera setelah eksekusi program jahat oleh pengguna, bukan itu yang terjadi. Komunikasi semacam itu menimbulkan risiko yang signifikan bagi penipu karena dapat memicu peringatan dari program antivirus.

Dalam skenario kami dan sebagian besar kasus yang melibatkan overlay jarak jauh lainnya, komunikasi dimulai hanya setelah pengguna mengakses salah satu target malware, khususnya situs internet bank negara-negara berbahasa Spanyol atau Portugis.

Iterasi kode pada daftar target
Gambar 2 - Iterasi pada daftar target

Inisialisasi komunikasi C2C

Ketika pengguna mengakses salah satu daftar target malware, komunikasi dengan server C2C dibuat. Komunikasi ini dieksekusi dengan menggunakan API Socket WIN32, yang menyediakan metode yang paling mudah untuk komunikasi tersebut.

Sebelum mengatur soket, malware mengisi informasi soket, termasuk port tujuan dan alamat.

kode mengatur soket dengan alamat tujuan dan port
Gambar 3 - Menyiapkan soket dengan alamat tujuan dan port

Setelah soket terhubung, pesan 'GFHHVG.. 'dikirim ke server C2C.

Log menunggu koneksi dan mengirim pesan
Gambar 4 - Setelah soket terhubung, malware mengirim pesan ke server C2C

Penerimaan komunikasi C2C

Setelah soket terhubung dan beacon dikirim ke server C2C, malware menunggu input dari server C2C. Setelah diterima, pesan ditangani oleh salah satu fungsi “read” berikut, tergantung pada urutan pesan yang diterima:

tangkapan layar fungsi read (berwarna merah muda terang)
Gambar 5 - Fungsi read (berwarna merah muda terang)

Fungsi-fungsi ini mirip satu sama lain dan tujuannya adalah untuk mengurai pesan yang diterima dari C2C.

Mari pelajari fungsi pertama “TwYHJk1_wC51Read”:

Tangkapan layar kode yang menunjukkan tempat kode mendekode pesan dan kemudian membandingkannya dengan string <|SocketMain|>
Gambar 6 - Mendekode pesan dan kemudian membandingkan dengan string <|SocketMain|>

Setelah malware menerima pesan dari C2C, malware menguraikannya dengan mendekode pesan dan kemudian membandingkannya dengan string yang mewakili perintah. Pada fungsi “read” pertama seperti yang terlihat di cuplikan, perintah pertama yang dibandingkan adalah “<|SocketMain|>”. Dalam fungsi “read” lainnya, perintah yang dibandingkan berbeda.

Perhatikan fungsi di alamat 0x7364A8.

Fungsi ini bertanggung jawab untuk mendekode seluruh pesan. Fungsi ini menerima string, dan setelah beberapa manipulasi matematis, ia mengembalikan string yang didekode.

Mari kita lihat ke dalam fungsi itu dan temukan algoritmanya.

Encoding komunikasi C2C

Tujuan

Pengodean komunikasi berfungsi untuk menyembunyikan niat penipu dan metode operasional. Tujuan ini dapat dicapai dengan menggunakan algoritma komunikasi yang sudah ada sebelumnya atau yang dibuat khusus. Seperti yang kami tunjukkan sebelumnya, pesan 'GFHHV.. 'tampaknya merupakan pesan yang dikodekan, yang menimbulkan kecurigaan pengodean karena sifatnya yang tampaknya acak dan tidak berarti.

Implementasi

Ketika kami menyelidiki fungsi decoding komunikasi C2C, kami dapat melihat bahwa implementasi mekanisme decoding sangat mudah dan melayani tujuan decoding pesan yang diterima dari server C2C. Mekanisme yang sama ini juga digunakan untuk menyandikan pesan yang dikirim ke server C2C.

Di dalam fungsi decoding
Gambar 7 - Di dalam fungsi decoding

Mari kita ambil contoh di atas yang ingin kita dekode. “GFHHVGCGEFUGAFOFUGCFMFXHVFJ@”

Mari kita bagi proses decoding menjadi langkah-langkah berikut:

Langkah 1: Ambil karakter pertama (“GGFHHVGCGEFUGAFOFUGCFMFXHVFJ@) dan konversi ke ASCII. Karakter ini memiliki nilai 71. Dari nilai ini, kurangi 65 (nilai ASCII dari 'A'). Hasilnya adalah 6.
6 adalah nilai berulang kita selama proses decoding, yang akan kita kembalikan nanti.

Mengekstrak karakter pertama dari string yang dienkode
Gambar 8 - Mengekstrak karakter pertama dari string yang dienkode

Langkah 2: Ambil karakter berikutnya (“FGFHHVGCGEFUGAFOFUGCFMFXHVFJ@) dan konversi ke ASCII. Karakter ini memiliki nilai 70. Kurangi 65 (nilai ASCII 'A').
Hasilnya adalah 5.
Mari kita anggap sebagai variabel X.
Dua baris kode assembly dapat direpresentasikan dengan persamaan berikut:
(X + 4X) + (X + 4X) *4 = > 25X = 25* 5 = 125

Mengekstrak karakter kedua dari string yang dienkode
Gambar 9 - Langkah 2

Langkah 3: Ambil karakter berikutnya ("H") GFHHVGCGEFUGAFOFUGCFMFXHVFJ), nilai ASCII: 72. Kurangi nilai ASCII 'A': hasilnya 7.
Tambahkan ke nilai itu hasil langkah sebelumnya. 125 + 7 = 132.
Dari nilai itu, kurangi dua nilai - nilai konstanta 66 ('B') dan nilai langkah 1. 132 - 66 - 6 = 60. Dalam ASCII, "<". Ini adalah karakter pertama string yang didekode.

Mengekstrak karakter ketiga dari string yang dienkode
Gambar 10 - Langkah 3

Langkah 4: Ulangi lagi Langkah 2 + Langkah 3 dengan pasangan karakter berikutnya ("H" & "V" GFHHVG..), menyusun string yang didekode dengan menambahkan karakter yang didekode berikutnya setiap kali.

Langkah 5: @” Mewakili akhir string GFHHVGCGEFUGAFOFUGCFMFXHVFJ@
Sekarang kita dapat mencetak hasil decoding teks yang dienkode: <|PRINCIPAL|>
String ini mewakili beacon komunikasi awal yang dikirim dari malware ke server C2C.

Hal yang perlu diperhatikan…

Salah satu konsekuensi dari metodologi encoding dan decoding ini adalah bahwa karakter yang dienkode yang berbeda dapat menghasilkan karakter yang didekode yang sama.

Sebagai contoh, karakter GGC dan AFV keduanya memetakan ke karakter P yang sama.

Contoh lain, untuk skenario yang lebih rumit. Berbicara tentang string - baik "GFHHVGCGEFUGAFOFUGCFMFXHVFJ" maupun "AFBHPFVFXFFTFIFOFVFGFRHPFD" akan didekode ke plaintext yang sama.

menunjukkan dua ciphertext berbeda yang didekode menjadi plaintext yang sama
Gambar 11 - Ciphertext berbeda, plaintext yang sama

Salah satu manfaat dari algoritma encoding dan decoding tersebut adalah bahwa jika jaringan dipantau, hampir tidak mungkin untuk memahami mode operasi malware tanpa mendapatkan algoritma decoding. Hal ini disebabkan oleh banyaknya pilihan encoding yang tersedia untuk setiap perintah, menyebabkan mode operasi yang sama yang dijalankan oleh malware selalu tampak berbeda bagi pemantau jaringan.

Perintah C2C

Implementasi

Setelah perintah didekode, jalur menuju sampel cukup mudah. Setiap perintah memiliki fungsi operasionalnya sendiri, memungkinkan penipu untuk melakukan berbagai tugas pada sistem korban, termasuk pemantauan layar, kontrol mouse dan keyboard, dan banyak lagi.

Memeriksa apakah perintahnya adalah MousePos, yang mengatur gerakan mouse korban
Gambar 12 - Memeriksa apakah perintahnya adalah MousePos, yang mengatur gerakan mouse korban

Perintah utama

Mari kita selidiki perintah yang diimplementasikan dalam malware yang memungkinkan penipu untuk menjalankan berbagai tugas pada sistem korban.

Setelah menjalin komunikasi, malware mengirimkan beacon, dilambangkan sebagai "<|PRINCIPAL|>", ke server C2C untuk memberi sinyal pembentukan jaringan.

Setelah langkah awal ini selesai, penipu memperoleh kendali luas atas sistem korban, sehingga mampu melakukan berbagai tugas. Salah satu perintah penting adalah ekstraksi informasi sistem yang berharga. Tindakan ini difasilitasi oleh perintah "<|Info|>", yang digunakan untuk mengekspor detail mendasar tentang sistem korban. Detail ini mencakup versi Windows, lokasi geografis, browser yang saat ini aktif, dan halaman web yang saat ini sedang dilihat. Berikut adalah respons ilustratif dari malware terhadap perintah ini, dikirim kembali ke server C2C:

"<|Info|>Win 10<|>Bank x<|>Chrome<|>4:04:12 PM<<"

  • Nama bank asli tidak dapat ditulis di blog ini

Respons ini menunjukkan bahwa sistem korban menjalankan Windows 10, menggunakan Chrome, dan saat ini sedang melihat halaman web dari Bank x pada pukul 16:04:12.

Informasi ini dicuri karena beberapa alasan. Mengetahui sistem operasi perangkat korban dapat memudahkan proses membobol sistem mereka dengan alat berbahaya tambahan, karena setiap alat mungkin mendukung versi sistem yang berbeda, dan mengetahui situs bank target korban dapat membantu penipu untuk melancarkan serangan yang berhasil.

Kesimpulan

Serangan overlay jarak jauh adalah salah satu ancaman paling umum terhadap rekening perbankan pengguna saat ini, menimbulkan risiko signifikan bagi bank dan klien mereka. Aspek penting dari serangan ini melibatkan komunikasi malware dengan operatornya, yang merupakan bagian integral dari metodologi operasional mereka. Membangun komunikasi langsung dan real-time sangat penting untuk melakukan serangan semacam itu. Dengan mengenkode komunikasi semacam itu, malware bermaksud mempersulit pembalikan proses dan memperkuat dinding pertahanannya. Sebagai pakar keamanan siber, tujuan utama kami adalah memantau, menganalisis, dan memblokir komunikasi ini untuk mencegah keberhasilan pelaksanaan aktivitas penipuan.

Tetap aman

Untuk melindungi diri mereka sendiri, pengguna harus secara teratur meninjau aplikasi yang diinstal, segera menghapus yang tidak dikenal atau mencurigakan.

Selain itu, penting untuk memantau akun email untuk mengidentifikasi aktivitas yang tidak biasa, seperti upaya login yang tidak diharapkan, dan untuk mengawasi dompet mata uang kripto untuk mendeteksi transaksi yang tidak sah atau tindakan yang tidak dikenal. Tetap proaktif dan berhati-hati dapat membantu mengurangi risiko yang ditimbulkan oleh paradigma serangan yang berkembang ini.

IBM Trusteer membantu Anda deteksi penipuan dan malware, mengautentikasi pengguna, dan membangun kepercayaan identitas di seluruh perjalanan pelanggan omnichannel. Lebih dari 500 organisasi terkemuka mengandalkan IBM Trusteer untuk membantu mengamankan perjalanan digital pelanggan mereka dan mendukung pertumbuhan bisnis.

