Ada Malware Trump, Putin hingga Kim Jong Un
Ilustrasi
Cyberthreat.id - Pilpres Amerika Serikat (AS) 2020 mulai dimanfaatkan aktor-aktor jahat untuk mendistribusikan Malware menggunakan nama-nama tokoh politik. Yang diincar adalah sikap emosional korban untuk diarahkan agar mengklik tautan berbahaya yang mengandung Malware.
Para peneliti keamanan siber menemukan ratusan kampanye Malware yang bermuatan politik, distribusi Ransomware, dan Remote Access Trojans (RATs). Malware yang diedarkan menggunakan tokoh politik seperti Presiden AS Donald Trump, Presiden Rusia Vladimir Putin, dan penguasa Korea Utara Kim Jong-un.
"Penyelidikan kami mengungkap bahwa orang-orang jahat akan melakukan apa saja dan menggunakan apa pun yang dianggap menguntungkan, dari budaya pop hingga referensi politik, semua dilakukan secara fair," kata Nick Biasini dan Edmund Brumaghin, dua peneliti Cisco Talos, dilansir Threatpost, Selasa (5 November 2019).
Penyelidikan pertama Biasini dan Brumaghin menemukan kampanye malspam yang menjajakan eksekusi "trump.exe,". Keduanya kemudian berusaha mencari jenis kampanye lain yang memanfaatkan tokoh-tokoh politik.
Biasini menemukan berbagai aplikasi yang dirancang untuk memikat para korban agar membayar tuntutan tebusan akibat terkena Ransomware. Ada juga yang berhasil mendapatkan akses ke backdoor sistem dan memberi para penyerang kemampuan untuk 'beroperasi' dalam jaringan organisasi.
Tema-tema politik yang dikirimkan kepada para korban mengandung Malware tidak ditujukan untuk serangan disinformasi atau hoaks - yang merupakan masalah bagi raksasa digital seperti Facebook dan Twitter.
Misalnya korban hanya akan dikirimkan file yang digunakan sebagai umpan untuk membodohi korban agar mengklik atau mengunduh berbagai jenis aplikasi yang mengandung Malware.
Remote Access Trojans (RATs)
Para peneliti menemukan berbagai RATs bertema politik yang mengelabui korban agar mengunduh malware. Sebagai contoh, para peneliti menemukan RAT yang dikirimkan melalui dokumen Word berjudul "12 hal yang harus diketahui Trump tentang Korea Utara.doc," menyebar melalui phishing.
Pada awalnya, ketika dibuka pada sistem analisis, dokumen tersebut tampaknya tidak berfungsi dengan benar, mengambil beberapa menit untuk memuat - tetapi setelah penyelidikan lebih lanjut, ditentukan bahwa selama pembukaan lambat, Dynamic Link Libraries (DLLs) yang sedang direkonstruksi dari data hadir dalam dokumen itu sendiri, yang akhirnya mengeksekusi malware bernama Konni RAT.
Konni RAT ditemukan tahun 2014 dan telah digunakan dalam serangan kepada lembaga pemerintah dan organisasi publik yang terkait dengan Korea Utara.
Para peneliti juga menemukan tema-tema politik di berbagai spreadsheet Excel berbahaya, termasuk satu spreadsheet berjudul “Trump_administration_economic_indicators_on_China_investments.xls” berisi makro jahat yang bertanggung jawab untuk menginfeksi sistem dengan PoisonIvy RAT, yang dikenal dengan cyber espionage dan telah digunakan dalam serangan yang terkait dengan China.
Tema bermotivasi politik lain yang digunakan untuk mendistribusikan RATs "adalah [malware yang menginfeksi file] Neshta, yang menggunakan tema di sekitar pemimpin Korea Utara Kim Jong-un.
Ada lagi kampanye NjRAT yang dapat berjalan di background dan secara diam-diam mengumpulkan informasi tentang sistem, pengguna yang terhubung, dan aktivitas jaringan yang menghasilkan gambar-gambar senagai umpan untuk korban.
"Gambar ini digunakan sebagai ikon untuk executable, bernama "Papa-Putin.exe."
