Malware Pembajak Akun Medsos Ini Disebarkan Penjahat di Microsoft Store
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Perusahaan keamanan siber Check Point menemukan perangkat lunak jahat (malware) yang digunakan untuk membajak akun media sosial didistribusikan melalui aplikasi game di toko aplikasi Microsoft Store.
Malware yang dijuluki dengan nama “Electron Bot” diketahui telah menginfeksi lebih dari 5.000 perangkat Windows di Swedia, Bilgariam Rusia, Bermuda, dan Spanyol.
Mereka menyamar sebagai aplikasi game yang telah disusupi oleh trojan. Aplikasi game tersebut berupa Lupy games, Crazy 4 games, Jeuxjeuxkeux games, Akshi games, Goo Games, dan Bizzon Case, tulis The Hacker News, diakses Senin (28 Februari 2022).
Peneliti Check Point, Moshe Marelus, mengatakan Electron Bot adalah malware SEO modular yang digunakan untuk promosi media sosial dan penipuan klik.
Sejauh ini, peneliti belum bisa mengidentifikasi siapa di balik serangan itu. Hanya, bukti yang ada menunjukkan bahwa mereka kemungkinan berbasis di Bulgaria.
“Ini terutama didistribusikan melalui platform toko Microsoft dan dijatuhkan dari puluhan aplikasi yang terinfeksi, sebagian besar game, yang terus-menerus diunggah oleh penyerang,” ujar Marelus.
Berdasarkan pengamatannya, tanda pertama aktivitas jahat dimulai sebagai serangan “clicker” iklan yang ditemukan pada Oktober 2018. Malware bersembunyi dalam bentuk aplikasi Google Foto. Sejak saat itu, malware ini telah mengalami banyak iterasi yang melengkapi malware dengan fitur-fitur baru dan kemampuan mengelak dari radar antimalware.
Electron Bot juga juga dirancang untuk memuat muatan yang diambil dari server perintah dan kontrol (C2) yang dikendalikan penyerang. Kemampan ini memungkinkan penyerang untuk memodifikasi muatan malware dan mengubah perilaku bot pada waktu tertentu. Ini yang menyulitkan deteksi keamanan.
Marelus menyebutkan, fungsi inti Electron Bot ialah membuka jendela browser secara tersembunyi. Lalu, melakukan SEO jahat, menghasilkan klik untuk iklan, mengarahkan lalu lintas ke konten yang di-hosting di YouTube dan SoundCloud, serta mempromosikan produk tertentu untuk menghasilkan keuntungan dengan mengklik iklan atau meningkatkan peringkat toko untuk penjualan yang lebih tinggi.
“Selain itu, malware ini juga dilengkapi dengan fungsi yang dapat mengontrol akun media sosial di Facebook, Google, dan SoundCloud, termasuk mendaftarkan akun baru, masuk, serta mengomentari dan menyukai posting lain untuk meningkatkan tampilan,” tutur Marelus.
Ia menjelaskan, urutan serangan dipicu ketika pengguna mengunduh salah satu aplikasi yang terinfeksi (misalnya, Temple Endless Runner 2) dari toko Microsoft.
Ketika diluncurkan aplikasi game ini secara diam-diam akan menjatuhkan dan menginstal dropper melalui JavaScript. Sepanjang proses serangan, ada langkah-langkah yang dilakukan oleh malware untuk mengidentifikasi perangkat lunak pendeteksi ancaman (antimalware), sebelum dropper melanjutkan untuk mengambil malware bot yang sebenarnya.
“Karena muatan bot dimuat secara dinamis setiap kali dijalankan, penyerang dapat memodifikasi kode dan mengubah perilaku bot menjadi berisiko tinggi, misalnya, mereka dapat menginisialisasi tahap kedua dan menjatuhkan malware baru seperti ransomware atau RAT tanpa sepengetahuan korban,” kata Marelus.[]
Redaktur: Andi Nugroho
