Windows 10 adalah product terbaru sistem operasi besutan microsoft yang ada pada saat ini dipasaran. menurut hukum di keamanan jika sebuah sistem melakukan upgrade maka ancamannya, entah itu berupa malware dan sejenisnya juga akan mengikuti upgrade juga.
berikut ini salah satu researcher dari ibm force mendeteksi Trojan banking Gozi melakukan upgrade. proses upgrade malware ini merubah targetnya dimana pada kali ini gozi developer berhasil mengupdate kode injection trojannya untuk di implementasikan mengambil form dan web injection pada browser windows 10 edge Browser.
Windows 10 memang menawarkan system upgrade untuk pengguna rumahan tanpa biaya, yan memunculkan pro kontra dari berbagai kalangan. tidak terlepas juga kasus ini menjadi perhatian kalangan developer malware yang juga menyesuaikan kodenya sesuai dengan perkembanga sistem operasi tersebut.
Sebenarnya Gozi bukannlah jenis malware yang pertama di windows 10. mungkin anda pernah mendengar malware yang bernama Tinba V3 yang mempunyai kemampuan untuk menginjeksi kode kedalam edge browser dengan baik, walaupun tidak punya kemampuan mendeploy webinjection.
Dengan Proses Upgrade Tapi tetap dengan Ide Yang sama
Menurut data yang di dapatkan oleh researcher gozi mempunyai kemampuan baru yaitu menemukan cara yang sama untuk menginjeksi pada windows 10 tentunya pada edge browser yang sama seperti pendahulu os-os microsoft sebelumnya. Kemampuan yang di miliki oleh Gozi adalah menginjeksi Kode ke process MicrosoftEdgeCP.exe yang merupakan proses dari edge browser.
apapun itu semua child proses tidak luput dari perhatian gozi termasuk didalamnya fungsi beberapa feature. untuk lebih jelasnya perhatikan kode dibawah ini.
Coba perhatikan bagaimana Gozi Developer melakukan menajemen terhadap kemampuan barunya. untuk menginjeksi browser pada windows 10 dia mengaitkan dengan nomor kernel32.dll.
padahal seperti yang kita ketahui malware jenis sebelumnya (Windows sebelum win 10) memilih explorer.exe sebagai parent prosesnya. tetapi untuk windows 10 trik ini sudah tidak bisa berguna lagi karena explorer.exe tidak lagi parent process dari edge browser.
Untuk menyesuaikan dengan windows 10 developer menggunakan trik baru yaitu mencari parent proses yang baru untuk laveraging proses lainya yakni RuntimeBroker.exe yang menjadi parent proses dari edge browser. yang perlu menjadi catatan Gozi menggunakan RuntimeBroker sebagai inangnya. perhatikan potongan kode berikut ini.
- iexplorer .exe
- firefox.exe
- chrome.exe
- Runtime.exe
Sekian Informasi dari Saya Semoga bermanfaat :)
0 Response to "Malware Banking Menyerang Pengguna Yang Upgrade Windows 10"
Post a Comment