Liputan6.com, Jakarta - Peneliti Kaspersky menemukan malware bernama Chinotto. Malware ini menargetkan pembelot Korea Utara dan aktivis HAM.
Malware tersebut diketahui dioperasikan oleh aktor ancaman persisten tingkat lanjut ScarCruft dan diimplementasikan di PowerShell executable Windows serta aplikasi Android.
Baca Juga
Aktor ancaman disebut mampu mengendalikan dan mengekstrak informasi sensitif dari targetnya. Selanjutnya, penyerang pun berupaya mengumpulkan informasi dan menyerang koneksi korban menggunakan jejaring sosial dan email yang telah disusupi.
Advertisement
Grup ScarCruft sendiri adalah kelompok yang disponsori negara. Kegiatannya adalah mengawasi organisasi pemerintah yang terkait dengan Semenanjung Korea, pembelot Korea Utara, dan jurnalis lokal.
Malware ini terdeteksi ketika Kaspersky dimintai bantuan teknis oleh layanan berita lokal, untuk menyelidiki keamanan siber mereka. Para peneliti Kaspersky pun bisa menyelidiki komputer yang disusupi ScarCruft.
Peneliti Keamanan Senior di Global Research and Analysis Team (GReAT) Kaspersky, Seongsu Park, mengatakan ada banyak jurnalis, pembelot dan aktivis HAM yang jadi sasaran serangan siber. Sayangnya kebanyakan dari orang-orang ini tidak memiliki alat untuk merespon serangan seperti itu.
"Penelitian ini menunjukkan pentingnya pakar keamanan berbagi pengetahuan siber terbaru dan berinvestasi solusi yang dapat memerangi ancaman tersebut," katanya.
* Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.
Tiga Versi Malware Chinotto
Malware Chinotto tersedia dalam tiga versi, yakni PowerShell, Windows executable, dan aplikasi Android. Ketiga versi berbagi skema pemerintah dan kontrol serupa berdasarkan komunikasi HTTP.
Artinya, operator malware bisa mengontrol seluruh keluarga malware melalui satu set skrip pemrintah dan kontrol. Ketika menginfeksi komputer dan ponsel korban sekaligus, operator malware bisa mengatasi otentikasi dua faktor di aplikasi pesan atau email dengan cara mencuri pesan SMS dari ponsel.
Pelaku pun bisa mencuri informasi apa pun yang mereka inginkan dan melanjutkan serangan, misalnya ditujukan pada kenalan atau mitra bisnis korban.
Adapun karakteristik malware ini adalah, malware mengandung banyak kode sampah atau tidak beraturan. Hal ini dimaksudkan untuk menghindari analisis.
Dalam penyelidikan, teridentifikasi bahwa penyerang mulanya mencuri data dan melacak tindakan korban selama berbulan-bulan. Diketahui pula, penyerang memakai akun Facebook korban yang telah dicuri untuk menghubungi kenalan korban yang menjalankan bisnis terkait Korea Utara.
Advertisement
Bisa Akses Data-Data Pengguna
Setelah itu, mereka menggunakan koneksi tersebut untuk mengumpulkan informasi tentang aktivitasnya dan menyerang target dengan email spear-phishing yang berisi dokumen Word berbahaya.
Dokumen tersebut menyertakan makro berbahaya dan muatan untuk proses infeksi multi-tahap. Makro tahap pertama dengan memeriksa keberadaan solusi keamanan Kaspersky di mesin korban.
Jika diinstal pada sistem, makro memungkinkan akses kepercayaan untuk Visual Basic Application. Dengan begitu, Microsoft Office akan mempercayai semua makro dan menjalankan kode apa pun tanpa menunjukkan peringatan keamanan atau memerlukan izin pengguna.
Jika tidak ada software keamanan Kaspersky yang diinstal, makro langsung melanjutkan dekripsi muatan tahap berikutnya. Dari situ, penyerang mengirim malware Chinotto dan bisa mengontrol dan mengekstrak informasi sensitif korban.
Selama analisis, ahli Kaspersky menemukan empat korban yang semuanya berlokasi di Korea Selatan. Target ancaman adalah individu, bukan perusahaan atau organisasi tertentu.
(Tin/Isk)
Infografis Beragam Model Kejahatan Siber
Advertisement