Analisis MgBot: Plugin Credential Stealer dan Malware yang Menyenangkan
October 27, 2024 ,

Analisis MgBot: Plugin Credential Stealer dan Malware yang Menyenangkan

Dalam penelitian ini, kami akan membahas plugin credential stealer dan malware MgBot yang ditemukan oleh peneliti. MgBot adalah malware yang dikembangkan oleh grup cybercrime Evasive Panda, yang dikenal dengan keahlian dalam menciptakan malware canggih dan menarik.

Fungsi Plugin Credential Stealer

MgBot memiliki plugin credential stealer yang berfungsi sebagai agent untuk mencuri kredensial user. Dalam plugin ini, terdapat dua modul yang digunakan untuk mencuri kredensial: agentpwd.dll dan Gmck.dll. Modul agentpwd.dll berfungsi sebagai keylogger yang dapat mengumpulkan data input keyboard, sedangkan modul Gmck.dll berfungsi sebagai cookie stealer yang dapat mengumpulkan cookies dari web browser.

Fungsi Malware

MgBot juga memiliki fungsi sebagai malware yang dapat melakukan berbagai kegiatan. Beberapa kegiatan tersebut antara lain:

  • Mengumpulkan data sistem: MgBot dapat mengumpulkan informasi sistem, seperti informasi jaringan dan aplikasi yang terinstal.
  • Injeksikan file: MgBot dapat injeksikan file Portable Executable (PE) ke dalam proses jarak jauh.
  • Menyimpan data: MgBot dapat menyimpan data yang dikumpulkan ke dalam berbagai format, seperti file CAB dan archive.
  • Mengumpulkan data audio dan visual: MgBot dapat mengumpulkan data audio dan visual dari sistem target, termasuk input keyboard, output audio, dan screenshot.

MITRE ATT&CK Techniques

Dalam penelitian ini, kami menggunakan versi 12 dari framework MITRE ATT&CK untuk membangun tabel teknis. Berikut adalah beberapa teknik yang digunakan oleh MgBot:

  • Resource Development: MgBot mengembangkan infrastruktur C&C yang terintegrasi dengan server.
  • Execution: MgBot menggunakan Windows Command Shell untuk menjalankan installer dan menginisialisasi backdoor DLL.
  • Persistence: MgBot memiliki kemampuan persistensi yang memungkinkannya untuk bertahan di sistem target.
  • Privilege Escalation: MgBot dapat melakukan bypass User Account Control (UAC) dengan cara mengubah path DLL Application Management service.
  • Defense Evasion: MgBot memiliki kemampuan evasi defend, seperti deobfuscating file dan mengenkripsi data.

Command and Control

MgBot juga memiliki fungsi sebagai C&C yang memungkinkan pengguna untuk berkomunikasi dengan malware. MgBot menggunakan protokol TCP dan UDP untuk berkomunikasi dengan C&C.

Exfiltration

MgBot dapat melakukan exfiltration dari data yang dikumpulkan ke dalam C&C. Data yang dikumpulkan diarsipkan dalam format file CAB dan archive, serta dapat dihapus dari sistem target.

Dalam penelitian ini, kami menemukan bahwa MgBot adalah malware yang sangat menarik dan berbahaya, dengan kemampuan untuk mencuri kredensial user, mengumpulkan data sistem, dan melakukan exfiltration. Karena itu, penting bagi para pengguna untuk memantau aktivitas cybercrime dan mengambil tindakan preventif untuk mencegah serangan malware seperti MgBot.

Tags:
Share this

Leave a comment