Berkedok Antivirus K7 Security, Hacker China APT 10 Sebar Malware Pencuri Data

Cyberthreat.id – Cara peretas menyebarkan malware sangat unik, bahkan taktik mereka tidak mudah dicurigai oleh pengguna komputer.

Baru-baru ini penelitian Kaspersky menemukan bahwa peretas asal China mendistribusikan malware melalui program antivirus. Serangan peretas yang diidentifikasi sebagai geng APT10 aka Cicada itu menargetkan pengguna di Jepang.

Target yang diserang mencakup perusahaan media hingga lembaga pemerintah, tutur perusahaan keamanan siber asal Rusia itu.

Menurut Kaspersky, peretas menyamar sebagai program antivirus K7Security Suite palsu. Nama antivirus ini dikenal sebagai buatan K7 Computing, perusahaan keamanan asal India.

Melalui program palsu itu, peretas menyuntikkan “LODEINFO”, malware yang baru muncul sekitar tiga tahun terakhir dan memiliki kemampuan mengeksekusi file PE dan shellcode. Selain itu, malware ini juga mampu mengunduh dan mengunggah file, mematikan proses, serta mengiriman daftar file yang dicuri dari komputer korban.

“Malware tersebut didistribusikan melalui praktik yang dikenal sebagai sideloading .DLL,” tutur Kaspersky, dikutip dari TechRadar, diakses Senin (7 November 2022).

Pertama-tama, korban diarahkan oleh peretas ke halaman unduhan antivirus K7Security Suite palsu. Instalasi yang dilakukan calon korban tampaknya memang tidak berbahaya dan perangkat lunak yang diunduh juga menjadi solusi antivirus. Hanya saja, di folder yang sama terdapat DLL berbahaya bernama “K7SysMn1.dll.”

Karena file tersebut dibawa oleh aplikasi keamanan yang sah, perangkat lunak keamanan lain mungkin tidak mendeteksinya sebagai file berbahaya.

Sebagai gambaran, file sideloading .DLL bukanlah pendekatan baru. Pada Agustus 2022, dilaporkan bahwa Windows Defender pernah disalahgunakan peretas untuk memuat LockBit 3.0, varian ransomware yang terkenal saat ini.[]