Grup cybercriminal TA505 tampaknya telah meluncurkan dua kampanye malware Juni lalu, memberikan FlawedAmmyy RAT kepada para korban di beberapa negara menggunakan program pengunduh yang baru dibuat AndroMut.
Kedua kampanye tersebut menginfeksi korban menggunakan email phising dengan tautan untuk mengunduh file Microsoft Word dan Excel, menurut posting blog 2 Juli oleh Proofpoint. Jika diaktifkan, makro jahat yang tertanam dalam file tersebut akan menjalankan perintah Msiexec yang mengunduh dan mengeksekusi AndroMut atau loader FlawedAmmyy loader. . Either way, loader akan memberikan RAT FlawedAmmyy.
Salah satu kampanye menargetkan warga Korea Selatan, sementara yang lain mencari lembaga keuangan di Singapura, Uni Emirat Arab, dan AS. Dalam kedua kasus tersebut, baris subjek dalam email phishing ini berisi terminologi dokumen keuangan seperti "faktur," "pengiriman uang" atau "memperkirakan."
Proofpoint melaporkan bahwa AndroMut ditulis dalam bahasa pemrograman C ++, berkomunikasi dengan server C2-nya melalui permintaan HTTP POST, dan tampaknya berbagi kode dan perilaku tertentu dengan malware Andromeda dan QtLoader (walaupun para peneliti menyatakan rendahnya kepercayaan terhadap tumpang tindih ini).
AndroMut juga memiliki fitur beberapa proses anti-analisis, termasuk memeriksa sandboxing, pergerakan mouse, emulator Wine dan debuggers. Dan itu menciptakan kegigihan dalam salah satu dari dua cara, tergantung pada hak pengguna: "dengan menjadwalkan tugas yang mengeksekusi file LNK yang dibuat di Recycle Bin atau melalui metode 'Registry run'," jelas Proofpoint.
"Dengan dorongan baru Juni 2019 ini, vertikal perbankan komersial di Amerika Serikat, UEA, dan Singapura tampaknya menjadi target utama sebagai bagian dari pola perilaku 'ikuti uang' TA505 yang biasa," posting blog Proofpoint menyimpulkan. "Pengunduh AndroMut yang baru, ketika dikombinasikan dengan RAT FlawedAmmy sebagai muatannya, tampaknya menjadi peliharaan baru TA505 untuk musim panas 2019."
Sumber Artkel SCMedia
