Penjahat dunia maya semakin beralih ke pencuri informasi berbasis Go baru bernama ‘Aurora’ untuk mencuri informasi sensitif dari browser dan aplikasi mata uang kripto, mengekstraksi data langsung dari disk, dan memuat muatan tambahan.
Menurut perusahaan keamanan siber SEKOIAsetidaknya tujuh cybergang terkenal dengan aktivitas signifikan telah mengadopsi Aurora secara eksklusif, atau bersama dengan Redline dan Raccoon, dua keluarga malware pencuri informasi yang sudah mapan.
Sumber: SEKOIA
Alasan peningkatan popularitas Aurora yang tiba-tiba ini adalah tingkat deteksi yang rendah dan status yang tidak diketahui secara umum, membuat infeksinya cenderung tidak terdeteksi.
Secara bersamaan, Aurora menawarkan fitur pencurian data tingkat lanjut dan mungkin stabilitas infrastruktur dan fungsional.
Sejarah Aurora
Aurora pertama kali diumumkan pada April 2022 di forum berbahasa Rusia, diiklankan sebagai proyek botnet dengan fitur mencuri informasi dan akses jarak jauh yang canggih.
Sebagai dilaporkan KELA awal tahun ini, penulis Aurora ingin membentuk tim penguji kecil untuk memastikan produk akhir cukup baik.
Namun, pada akhir Agustus 2022, SEKOIA menyadari bahwa Aurora diiklankan sebagai pencuri, sehingga proyek tersebut mengabaikan tujuannya untuk membuat alat multifungsi.
Fitur utama yang tercantum dalam postingan promosi adalah:
- Kompilasi polimorfik yang tidak memerlukan pembungkus crypter
- Dekripsi data sisi server
- Menargetkan lebih dari 40 dompet cryptocurrency
- Pengurangan frase seed otomatis untuk MetaMask
- Reverse lookup untuk pengumpulan kata sandi
- Berjalan pada soket TCP
- Berkomunikasi dengan C2 hanya sekali, selama pemeriksaan lisensi
- Muatan kecil yang sepenuhnya asli (4,2 MB) tidak memerlukan ketergantungan
Fitur-fitur di atas diarahkan pada kemampuan sembunyi-sembunyi tingkat tinggi, yang merupakan keunggulan utama Aurora dibandingkan pencuri info populer lainnya.
Biaya untuk menyewa malware ditetapkan menjadi $250 per bulan atau $1.500 untuk lisensi seumur hidup.
Analisis pencuri
Setelah eksekusi, Aurora menjalankan beberapa perintah melalui WMIC untuk mengumpulkan informasi host dasar, mengambil gambar desktop, dan mengirimkan semuanya ke C2.
Sumber: SEKOIA
Selanjutnya, malware menargetkan data yang disimpan di beberapa browser (cookie, kata sandi, riwayat, kartu kredit), ekstensi browser cryptocurrency, aplikasi desktop dompet cryptocurrency, dan Telegram.
Aplikasi dompet desktop yang ditargetkan termasuk Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda, dan Jaxx Liberty.
Semua data yang dicuri dibundel dalam satu file JSON berenkode base64 dan dieksfiltrasi ke C2 melalui port TCP 8081 atau 9865.
SEKOIA melaporkan bahwa mereka tidak dapat mengonfirmasi keberadaan pengambil file yang berfungsi seperti yang dijanjikan pembuat malware.
Namun, para analis mengamati pemuat malware Aurora yang menggunakan “net_http_Get” untuk menjatuhkan muatan baru ke sistem file menggunakan nama acak dan kemudian menggunakan PowerShell untuk menjalankannya.
Sumber: SEKOIA
Distribusi saat ini
Saat ini, Aurora didistribusikan kepada para korban melalui berbagai saluran, yang diharapkan dengan melibatkan tujuh operator berbeda.
SEKOIA mengetahui bahwa situs phishing mata uang kripto dipromosikan melalui email phishing dan video YouTube yang tertaut ke perangkat lunak palsu dan situs katalog curang.
.png)
Sumber: BleepingComputer
Untuk daftar lengkap IoC (indikator kompromi) dan situs yang digunakan untuk distribusi Aurora, periksa Repositori GitHub SEKOIA.
