Versi Terbaru TrickBot Melumpuhkan Windows Defender | BECABUILT

Versi Terbaru TrickBot Melumpuhkan Windows Defender

New York, becabuilt.technology – Trojan TrickBot terus berevolusi untuk menghindari deteksi dan hadangan antivirus. Versi terbaru TrickBot punya target melumpuhkan Windows Defender, antivirus utama yang biasa dipakai pengguna Windows 10. Sampel TrickBot dengan kemampuan baru ini ditemukan periset malware MalwareHunterTeam dan Vitali Kremez, demikian laporan bleepingcomputer.com, 30 Juli.
TrickBot merupakan trojan perbankan canggih yang aktif sejak 2016. Malware ini mencuri kredensial perbankan online, dompet uang kripto, informasi pengguna yang disimpan di komputer dan browser. Dikatakan canggih karena TrickBot bersifat modular. Ini seperti pisau Swiss Army. Ada banyak fiturnya yang bisa digunakan sesuai kondisi dan target. 
Umumnya, pada infeksi awal, malware menyusupkan kode kecil yang sulit terdeteksi ke dalam sistem komputer atau jaringan komputer. Kode ini bisa berupa macro di dokumen .doc atau .xls yang bekerja saat macro diizinkan aktif. Setelah mengumpulkan informasi awal dan membuka “pintu masuk”, penyusup akan memberikan informasi ke pusat komando yakni server command and control (C&C). Pusat komando akan mengirimkan malware sesuai kondisi komputer korban, misalnya ransomware Ryuk.
Tugas pertama penyusup adalah memeriksa antivirus yang dipakai komputer korban. Pada versi sebelumnya, TrickBot akan menonaktifkan dan menghapus servis WinDefend, menonaktifkan notifikasi Windows Security, dan proteksi real time Window Defender. Serangan awal ini tampaknya dirasa kurang ampuh sehingga versi terbaru TrickBot berupaya lebih keras melumpuhkan Windows Defender (sekarang dinamai Microsoft Defender).
Versi TrickBot terbaru memiliki 12 metode tambahan untuk menaklukkan Windows Defender.
Metode TrickBot melumpuhkan Windows Defender | image: bleepingcomputer.com
Saat mendeteksi adanya antivirus atau antimalware, TrickBot akan memanipulasi debugger melalui registry key. Jika debugger tidak ada, program antivirus tidak bisa aktif. Malware ini kemudian akan melanjutkan operasi tahap berikutnya: mengumpulkan informasi dan berkomunikasi dengan C&C sebelum serangan final diluncurukan.