Peretas Amerika Latin Ubah Taktik Distribusi Trojan, dari Pornografi ke Email Phishing

Cyberthreat.id – Apa yang paling menarik perhatian di dunia siber? Jawabannya: pornografi. Konten-konten seperti inilah yang dimanfaatkan penjahat siber untuk menargetkan pengguna internet.

Biasanya, mereka memakai konten porno untuk mendistribusikan malware trojan. Namun, perusahaan keamanan siber asal Slowakia, ESET, menemukan ada perubahan distribusi trojan dari geng peretas di Brasil yaitu melalui paket email phishing.

Operator phishing tersebut kini memanfaatkan email phishing yang seolah-olah berasal dari perusahaan ekspedisi. Menurut ESET, email yang dikirim berisi tentang pengiriman paket yang gagal sehingga penerima (calon korban) diminta membuka file yang dilampirkan di email.

ESET menjuluki malware yang disematkan dalam lampiran email tersebut dengan sebutan “Trojan Ousaban”, demikian seperti dikutip dari ZDNet, Rabu (5 Mei 2021).

Malware yang ditulis dalam bahasa pemrograman Delphi itu diduga kuat telah beredar sejak 2018. Delphi merupakan bahasa pengkoden populer yang dipakai peretas untuk menulis malware yang memang disebarkan di kawasan Amerika Latin.

ESET mengatakan, trojan Ousaban merupakan gabungan istilah “boldness” dan “trojan perbankan”. Disebut “boldness” karena malware tersebut menggunakan citra seksual sebagai vektor pemikat dan distribusi. Bahkan, beberapa gambar yang disematkan di dalamnya bisa dianggap “cabul”.

File yang dilampirkan di email phishing berisi paket pemasang (installer package) MSI Microsoft Windows. Jika file itu diunduh dan dijalankan, MSI mengekstrak pengunduh JavaScript yang mengambil arsip .zip, di mana berisi aplikasi sah yang juga memasang trojan melalui DLL side-loading.

Rantai distribusi yang lebih rumit juga telah dilacak Yaitu, aplikasi yang sah diretas untuk mengambil injektor terenkripsi yang memperoleh URL berisi file konfigurasi jarak jauh untuk alamat dan port peladen (server) command-and-control (C2), serta file berbahaya lain yang mengubah berbagai “Settings” komputer korban.

Ousaban memiliki kemampuan tipikal trojan perbankan, seperti pemasangan pintu belakang (backdoor), keylogging, tangkapan layar, simulasi mouse dan keyboard, dan pencurian data pengguna.

ESET mengatakan mekanisme persistensi Trojan mencakup pembuatan file .LNK atau VBS loader di folder startup Windows, atau sebagai alternatif, malware akan mengubah registri.

Bulan lalu, ESET juga mendeteksi malware “Janeleiro”, trojan .NET yang beroperasi di Brasil dengan kemiripan dengan “Casbaneiro”, “Grandoreiro”, dan “Mekotio”. Malware ini digunakan dalam serangan yang ditargetkan terhadap entitas perusahaan perbankan dan pemerintah.

Sebelumnya, perusahaan keamanan siber asal Rusia, Kaspersky, juga medeteksi malware serupa dan menjulukinya “Javali”, salah satu dari empat trojan utama di Brasil, besama “Guildma”, “Melcoz”, dan “Grandoreiro”.[]