Malware ini memiliki trik baru, seperti menggunakan mekanisme tunneling terenkripsi stunnel dan menyalahgunakan aplikasi shareware yang sah.
Trojan perbankan Retefe muncul kembali pada bulan April setelah tidak aktif selama berbulan-bulan, dengan perubahan yang mencakup perpindahan dari Tor untuk mengamankan komunikasinya serta penyalahgunaan aplikasi shareware yang sah.
Retefe selalu menonjol dari trojan perbankan lainnya, dengan fokus regional yang konsisten di Austria, Swedia, Swiss, Jepang dan Inggris, kata para peneliti, serta kegemarannya untuk menghindari injeksi web sebagai vektor serangannya.
"Retefe tidak biasa dalam menggunakan proxy untuk mengarahkan korban ke halaman bank palsu untuk pencurian kredensial daripada menggunakan suntikan web untuk serangan man-in-the-browser seperti kebanyakan trojan perbankan," kata peneliti Proofpoint dalam sebuah posting teknis pada hari Kamis, menganalisis kemunculan kembali trojan.
Sementara Proofpoint mengatakan bahwa itu muncul dalam beberapa kampanye pada 2018, Retefe sebagian besar diam selama setahun terakhir; analisis utama terakhir dari trojan berasal dari uptick dalam aktivitas pada tahun 2017, ketika menambahkan NSA mengeksploitasi EternalBlue ke arsenalnya untuk melakukan serangan SMBv1 terhadap kerentanan Windows yang ditambal.
Dalam kampanye terbaru, yang dilakukan terhadap pengguna Mac dan Windows Swiss dan Jerman sepanjang April, Retefe telah menunjukkan perubahan signifikan lainnya, dengan mem-boot jaringan Tor dari operasinya. Di masa lalu, Tor adalah tujuan untuk pengalihan proxy serta koneksi ke server command-and-control (C2). Sekarang, operatornya telah memilih untuk memasukkan aplikasi yang disebut stunnel ke dalam proses.
Stunnel adalah aplikasi multi-platform open-source yang digunakan untuk menyediakan layanan tunneling terenkripsi TLS / SSL universal, bahkan untuk klien atau server yang tidak berbicara TLS atau SSL secara asli.
"Retefe mengekstrak stunnel melalui arsip terkompresi menggantikan proxy TOR Socat yang biasa," kata peneliti Proofpoint. “Kami menduga bahwa penggunaan terowongan khusus daripada Tor membuat koneksi lebih aman karena menghilangkan kemungkinan pengintaian pada hop antara node Tor.”
Tor juga merupakan protokol "ribut", catat para peneliti - dan "dengan demikian akan lebih mudah dideteksi di lingkungan perusahaan daripada stunnel, yang akan tampak seperti koneksi SSL keluar lainnya."
Shareware dan Perbaikan Instalasi yang Disalahgunakan
Selain keputusan untuk menjatuhkan Tor, penulis Retefe juga mengubah pendekatan pengiriman malware, termasuk menyalahgunakan aplikasi shareware yang sah sebagai bagian dari tumpukan instalasi trojan.
Aplikasi ini disebut Convert PDF to Word Plus 1.0., Dan menggunakan sertifikat yang dikeluarkan oleh DigiCert. Dalam email spam yang dikirim dengan lampiran iming-iming, pengguna dapat diyakinkan untuk menginstalnya untuk melihat dokumen terlampir. Jika itu terjadi, skrip Python menulis dua file ke mesin korban: Satu adalah penginstal yang sah untuk aplikasi Konversi PDF ke Word Plus dan dijalankan sebagai umpan; dan yang lainnya adalah loader berbahaya Retefe. Ini hasil untuk mengekstrak perangkat lunak kompresi file 7-Zip dan stunnel dari sumber dayanya, kemudian mendekripsi dan mengeksekusi kode Retefe JavaScript utama.
Tapi ini bukan satu-satunya pendekatan instalasi dalam tas trik Retefe. Dalam satu kampanye yang diamati Proofpoint di Swiss pada bulan April, email-email spam malah menggunakan paket Object Linking and Embedding (OLE) untuk mengirimkan Smoke Loader - satu lagi kerutan baru untuk malware.
Para peneliti mengatakan bahwa Smoke Loader digunakan sebagai dropper perantara malware, akan mengunduh Retefe dan skrip PowerShell dengan konten yang diperlukan untuk ketekunan Retefe, termasuk tugas yang dijadwalkan untuk 7-Zip dan stunnel.
Sementara itu di sisi macOS, kampanye terbaru menggunakan versi Adobe Installers palsu yang ditandatangani pengembang untuk mengirimkan muatan mereka, kata Proofpoint, dalam kelanjutan pendekatan yang pertama kali terlihat tahun lalu.
"Dengan menggunakan binari yang ditandatangani, para pelaku berusaha untuk mem-bypass aplikasi keamanan internal Gatekeeper MacOS, yang memeriksa apakah aplikasi ditandatangani oleh sertifikat pengembang yang valid sebelum dijalankan," kata peneliti Proofpoint.
Seperti Emotet, trojan perbankan terkenal yang telah secara konsisten berevolusi melampaui akar perbankannya menjadi platform pengiriman malware dengan layanan penuh, evolusi Retefe menunjukkan inovasi berkelanjutan di bidang pengembangan malware ketika menyangkut trojan perbankan. Retefe terbukti gesit dan efektif secara konsisten, kata para peneliti.
"Pengembang tampaknya telah memperbarui fitur-fitur utama Trojan dan menggunakan mekanisme distribusi baru ... setelah absen cukup lama dari lanskap," menurut Proofpoint. "Seperti banyak jenis malware, pengembang terus berinovasi, mengidentifikasi cara-cara baru dan lebih efektif untuk menginfeksi korban dan mencuri informasi pribadi untuk mendapatkan uang yang lebih baik dari serangan mereka."
Sumber Artikel threatpost
