Malware Dreambot Diduga Gulung Tikar, Ada Kemungkinan Berevolusi
Ilustrasi
Cyberthreat.id - Perusahaan cybersecurity CSIS Security Group mengungkapkan operasi malware Dreambot menjadi hening selama beberapa pekan terakhir. Menurut analisis perusahaan cybersecurity asal Copenhagen tersebut, kemungkinan besar operasi malware Dreambot sudah ditutup.
Benoit Ancel, analisis Malware di CSIS Security, mengatakan server backend Dreambot telah mengalami penurunan pada bulan Maret. Pada saat itu juga komunitas keamanan siber tidak pernah lagi melihat sampel Dreambot yang di distribusikan di internet.
"Kurangnya fitur baru? Penggandaan varian Gozi baru? Naiknya Zloader? Covid-19? Kita tidak bisa memastikan secara pasti apa penyebab kematian (Dreambot), tetapi semakin banyak indikator menunjuk pada akhir dari Dreambot," kata Ancel dilansir ZD Net, Jumat (1 Mei 2020).
Dreambot merupakan malware yang dibuat di atas kode sumber (source code) yang bocor dari trojan perbankan Gozi ISFB. Dreambot pertama kali terlihat oleh komunitas keamanan siber pada 2014 lalu.
Seperti halnya trojan lain yang berbasis Gozi, fungsi utama dari Dreambot adalah menyuntikkan konten berbahaya ke dalam peramban (browser) dan memfasilitasi pencurian kredensial perbankan sehingga melakukan transaksi keuangan yang ilegal.
Versi awal Dreambot hanya berisi sedikit fitur, tetapi malware ini berkembang menjadi jenis yang lebih kompleks seiring berjalannya waktu.
Dreambot dilengkapi fitur-fitur baru seperti perintah dan server kontrol yang di-host-Tor, kemampuan keylogging, kemampuan mencuri cookie browser dan data dari klien email, fitur screenshot, kemampuan untuk merekam layar korban, modul bootkit, dan fitur akses jarak jauh VNC (hanya untuk nama yang penting).
Dreambot juga berevolusi dari botnet malware pribadi menjadi Cybercrime-as-a-Service (CaaS).
Sebagai CaaS, pembuat Dreambot akan mengiklankan akses ke botnet mereka di forum peretasan dan malware. Penjahat lain yang tertarik dapat membeli akses ke bagian dari infrastruktur Dreambot dan versi malware Dreambot serta didistribusikan kepada korban.
Para penjahat yang membeli Dreambot akan menginfeksi perangkat korban, mencuri dana, dan membayar geng Dreambot dengan biaya per pekan, bulanan, atau tahunan. Bahkan CSIS menghitung lebih dari sejuta infeksi dengan Dreambot pada tahun 2019.
"Kami menghitung lebih dari satu juta infeksi (Dreambot) di seluruh dunia hanya untuk tahun 2019."
Berevolusi
Peneliti CSIS mengatakan dalam beberapa tahun terakhir Dreambot berevolusi dari yang sebelumya hanya menjadi trojan perbankan kemudian berkembang menjadi trojan generik.
Hal ini turut membuat para penjahat berevolusi. Mereka, geng kriminal, menyewa akses ke mesin cybercrime Dreambot, tidak untuk mencuri uang dari rekening bank, tetapi mereka akan menginfeksi sejumlah besar komputer, dan kemudian memeriksa setiap target, mencari komputer tertentu.
"Kelompok kriminal menggunakan Dreambot untuk menginfeksi sistem dan mencari komputer yang menggunakan perangkat lunak Point-of-Sale, untuk menyebarkan ransomware di jaringan perusahaan, penipuan BEC, atau memesan barang dari akun e-shopping yang dibajak (eBay). , Amazon, dll.)."
Dalam hal ini, evolusi Dreambot dari trojan perbankan yang sangat terspesialisasi menjadi "loader malware" generik, sama dengan apa yang terjadi pada Dridex, TrickBot, atau Emotet, dan trojan perbankan lain yang telah berevolusi menjadi layanan yang menyewakan akses untuk diretas komputer.
Sampai penulisan laporan ini, operator Dreambot belum diidentifikasi secara publik dan masih buron. Alasan hilangnya seluruh platform cybercrime saat ini juga masih menjadi misteri. Namun, masih ada kemungkinan Dreambot kembali dan berevolusi. []
Redaktur: Arif Rahman
