AGENT.BX: CURI DATA KARTU KREDIT DI MEMORY

 

JS NEWS Pencuri data merupakan salah satu ancaman malware yang terus menyebar melalui berbagai media. Umumnya, malware yang bersifat demikian berusaha tidak tampil atau menunjukkan interaksi kepada korban sehingga korban tidak menyadari komputernya terinfeksi program jahat.

Ada berbagai cara malware dapat mencuri data user. Namun, yang pasti malware harus aktif terlebih dahulu, baik penyebaran melalui flashdisk, attachment e-mail, download ataupun exploit ketika browsing.

File dokumen merupakn tipe file yang tidak mencurigakan untk dibuka oleh user, padahal file dokumen dapat berisi kode macro yang secara tersembunyi dapat men-download malware baru dari internet. Dokumen dapat terbuka, dan malware aktif pada sistem sementara user tidak menyadarinya.

Gambar 2. Agent.BX mengincar password aplikasi Remote Desktop
Gambar 2. Agent.BX mengincar password aplikasi Remote Desktop

Memonitor ketikan merupakan metode umum yang dilakukan malware dalam merekam segala aktivitas korbannya saat sedang menggunakan komputer. Terutama aktivitas saat mengetikkan username atau password untuk login hingga informasi kartu kredit.

Ketika suatu komputer terkena malware bertipe pencuri data ini, acapkali komputer dapat dikendalikan sacara remote oleh pembuat malware sehingga selain dapat memonitor layar secara remote oleh pembuat malware sehingga selain dapat memonitor layar secara real-time, mengakses file-file di harddisk hingga mentransfer informasi sensitif ke server malware. Agent.bx merupakan malware pencuri data dengan cara yang agak berbeda. Adapun yang diincar adalah informasi kartu kredit.

Memilih Data Di Memory

Gambar 3. Daftar proses yang tidak dibaca malwareAgent.bx merupakan malware yang memiliki teknik agak berbeda dari jenis keylogger atau backdoor secara umum. Malware ini akan memonitor semua proses yang aktif dengan menggunakan perintah api create toolhelp32snapshot, process32 first dan process32next, terkecuali sistem dan proses tertentu.

Ketika menemukan proses aktif, malware akan menggunakan perintah openprocess untuk mengakses handle proses lalu melanjutkan dengan perintah virtualqueryex untuk mendapatkan informasi page dari alamat di memory jika page dapat diakses. Kemudian dilanjutkan dengan perintah read process memory untuk menaruh page ke virtual memory dan data pun dipilih oleh agent.bx.

Agent.bx akan mencari informasi kartu kredit, misalnya dengan mencari karakter pembagi yang sering digunakan untuk nomor kartu kredit. Mari sekilas mempelajari terlebih dahulu mengenai cara kerja strip magnetik yang terdapat di kartu kredit.

Strip megnetik terdiri dari 3 track, yaitu track 1, 2 dan 3. Track 1 dan track 2 di pakai untuk menyimpan informasi sensitif seperti rekening pemegang kartu, seperti nomor kartu kredit mereka, nama lengkap, tanggal kadaluwarsa kartu dan kode negara. Track 3 digunkan untuk informasi tambahan dan area untuk proses read / write.

Apa yang terjadi jika anda membayar belanjaan anda di mal atau super market dengan menggesekkan kartu kredit anda? Setelah kartu kredit di gesek melalui mesin reader, software electronic data capture ( EDC ) pada terminal point-of-sale ( POS ) akan mengakses nomor telepon yang tersimpan menggunkan modem untuk berkominikasi dengan acquirer. Acquirer merupakan suatu organisasi yang memverifikasi permintaan proses autentik untuk proses pembayaran tersebut.

Algoritma pola untuk mencari informasi sensitif ini menggunakan ISO / ICE standars dengan mengekstrak karakter pemisah seperti “ ^” untuk track 1, “=” atau “D” untuk track 2. Jadi, data di memory akan di cek. Apabila berupa kode ASCII dan merupakan karakter pemisah, malware mengecek byte di awal dan di akhir pemisah untuk mendapatkan nomor kartu, nama pemiliki kartu dan tanggal kadaluwarsa kartu, serta CVV.

Untuk memvalidasi nomor kartu kredit, malware akan menggunakan algoritma luhn atau modulus 10. Agent.bx akan terus memilih data di memory serta berlanjut ke proses lainnya untuk mencuri data sensitif tersebut. Semua informasi yang didapatkan akan disimpan sementara di memory dan mengirimnya ke C&C server.

Karakteristik Agent.Bx

Malware berukuran 166 kb dan diperkirakan dibuat menggunakan C++ ini tidak memiliki icon. Agent.bx meng-copy file-file berikut.

  • % APPDATA% \java\javaupdate.exe
  • % APPDATA% \java\javaj.exe
  • % APPDATA% \svchost\svchost.exe
  • % APPDATA% \java\dllx64.dll

Malware akan mencari dan mematikan proses dengan nama javaupdate.exe sebelum meng-copy file induknya.

Agar dapat aktif di setiap komputer, registry yang dibuat yaitu :

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Java Update Manager
  • %APPDATA%\java\javaj.exe
  • HKCU\Software\Microsoft\Windwows\
  • CurrentVersion\Run\javaj%APPDATA% \svshost\svchost.exe

Malware ini juga melihat registry untuk mencari password realvnc, tightvnc, tigervnc, ultravnc 2, dan winvnc4 atau aplikasi remote desktop. Dengan mendapatkan informasi account aplikasi ini, pembuatan malware dapat mengakses sistem tanpa batas. Dengan menyertakan fungsi backdoor di dalam badan malware kemungkinan akan meningkatkan potensi terdeteksi oleh antivirus atau dicegat oleh firewall.

File dllx64.dl sendiri di-inject malware agar dapat mengakses memory dari setiap proses yang aktif sekaligus meng-install book pada keyboard dengan fungsi setWindowshookex untuk mencari data track 2. Artinya, malware ini menggunakan dua metode untuk mendapatkan informasi kartu kredit. Metode pertama adalah mencari di memory yangmungkin lebih menargetkan komputer dengan sistem point-of-sale yang ter-install dibandingkan metode kedua yang dapat menargetkan komputer pribadi.

Ada beberapa C&C server yang dikontak dari beberapa varian malware ini, yaitu :

  • http://corner-update.net
  • 105.64.84/a0d19de489970cf7276ebf390ef0cf23
  • Cabineta-axis-1.name/a0d19de489970cf7276ebf390ef0cf23
  • 17.30.19/mndn39oaom54lt3lk/
  • 109.68.58/afdah/eklemek.php
  • 109.68.58/afdah/eklemek.php
  • 109.68.58/aufkeleklemek.php
  • 109.68.58/afdah/eklemek.php
  • Vacation-promos.com/ujakjlek.php
  • WordPress-catalogs.com/dkok/ek.php

Berdasarkan alamat server, kata eklemek berasal darai bahasa turki yang berarti menambahkan.

Untuk meminimalkan notifikasi keamanan oleh sistem kepada korban, malware akan mengubah konfigurasi registry berikut.

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypes.exe;bat;reg;.vbs;

Sistem keamanan browser pun dimodifikasi oleh malware ini melalui registry berikut.

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Internet\Settings\Zones\0\18060

Kesimpulan

Malware tidak hanya mengincar komputer yang digunakan secara pribadi melainkan sistem yang terdapat POS atau aplikasi. Dengan mencari informasi kartu kredit di memory dan memvalidasinya dengan algoritma luhn kemudian dikirim ke C&C server.

Bagi user yang memiliki sistem dengan POS, dan bertujuan untuk proses transaksi seperti komputer yang terhubung dengan alat gesek kartu kredit, pastikan untuk menggunakan password yang komplek pada aplikasi POS, selalu meng-update aplikasi POS ke versi yang terbaru, install antivirus dan firewall, serta blok koneksi internet dan nonaktifkan fitur remote access pada komputer.

PCMAV 10.1.0 didesain untuk mendeteksi agent.bx dan menghapus file-file companion-nya, serta malware lainnya yang beredar di indonesia.

Sumber : PCMedia Edisi : 10 / 2015 ( Diakse tanggal :  26 / 12 / 2015    )

Share Is Cool

6 thoughts on “AGENT.BX: CURI DATA KARTU KREDIT DI MEMORY

Leave a Reply

Your email address will not be published.