Waspada, Jenis Malware Baru Ini Incar Layanan Cloud
Ilustrasi | Foto : Techdator
Cyberthreat.id-Para peneliti Cisco Talos menemukan sebuah trojan akses jarak jauh (RAT/Remote Acces Trojan) baru yang dijuluki JhoneRAT.
Malware ini didistribusikan sebagai bagian dari kampanye aktif, yang berlangsung sejak November 2019, yang menargetkan para korban di Timur Tengah.
Menurut para peneliti, para penyerang yang berada belakang JhoneRAT telah mengambil langkah-langkah tambahan untuk memastikan RAT didistribusikan kepada para korban berbahasa Arab.
Para peneliti mencatat bahwa para penyerang juga memanfaatkan berbagai layanan cloud, seperti Google Drive dan Google Forms, sebagai bagian dari proses infeksi payload.
"Kampanye ini menunjukkan seorang aktor yang mengembangkan RAT buatan sendiri yang bekerja di beberapa lapisan yang di-host pada penyedia cloud," kata peneliti Cisco Talos, seperti dikutip dari ThreatPost, Minggu, (19 Januari 2020).
Para peneliti menjelaskan, JhoneRAT dikembangkan dalam Python, tetapi tidak didasarkan pada kode sumber publik, seperti yang sering terjadi pada jenis malware ini.
“Para penyerang berusaha keras untuk memilih dengan cermat target yang berada di negara-negara tertentu berdasarkan tata letak keyboard korban,” ungkap para peneliti.
RAT pertama-tama disebarkan kepada korban melalui dokumen Microsoft Office berbahaya. Para peneliti berhasil mengidentifikasi tiga dokumen berbahaya yang mendistribusikan JhoneRAT, yaitu Urgent.docx, fb.docx, dan berisi nama pengguna dan kata sandi dari dugaan Facebook yang bocor.
Serta, dokumen terakhir yang lebih baru adalah dari pertengahan Januari dan dimaksudkan berasal dari organisasi Uni Emirat Arab. Penulis mengaburkan konten dokumen dan meminta pengguna untuk mengaktifkan pengeditan untuk melihat konten.
“Setelah pengguna membuka dokumen atau mengaktifkan pengeditan, dokumen jahat kemudian mengunduh dokumen Office tambahan dari Google Drive dengan makro yang tertanam,” jelas para peneliti.
Yang menarik, para penyerang menggunakan beberapa layanan cloud, seperti, Google Drive, Twitter, dan Google Forms, untuk mengunduh muatan. Dengan menggunakan metode ini, kata peneliti, membantu aktor jahat menghindari deteksi dan pembela.
"Sulit bagi target untuk mengidentifikasi lalu lintas yang sah dan jahat ke infrastruktur penyedia cloud. Selain itu, infrastruktur semacam ini menggunakan HTTPS dan alirannya dienkripsi yang membuat intersepsi manusia di tengah lebih rumit untuk bek,” tutur para peneliti.[]
