Peretas China Sebarkan Malware Stealer Lewat Pembaruan Aplikasi

Cyberthreat.id – Kelompok peretas dari China yang dikenal sebagai LuoYu menyebarkan malware stealer melalui pembaruan aplikasi.

Dikutip dari Bleeping Computer, peneliti keamanan senior dari Kaspersky Suguru Ishimaru mengatakan, kelompok ini menginfeksi korbannya dengan menggunakan malware Bernama WinDealer. Malware ini disebarkan dengan mengganti pembaruan aplikasi yang sah ke muatan berbahaya dalam serangan man-on-the-side.

“Untuk melakukan itu, pelaku ancaman secara aktif memantau lalu lintas jaringan target mereka untuk permintaan pembaruan aplikasi yang ditautkan ke aplikasi Asia populer seperti QQ, WeChat, dan WangWang dan menggantinya dengan penginstal WinDealer,” kata Ishimaru.

Setelah digunakan, WinDealer membantu penyeran untukg mencuri sejumlah besar data dari sistem Windows yang disusupi, menginstal pintu belakang untuk mempertahankan keberadaan mereka. Serta memanipulasi file, memindai perangkat lain di jaringan, dan menjalankan perintah sewenang-wenang.

Ishimaru mengatakan, alih-alih menggunakan info server command-and-control (C2) hard-coded yang umum, WinDealer akan terhubung ke alamat IP ChinaNet (AS4134) acak dari provinsi Xizang dan Guizhou dari kumpulan 48.000 alamat IP. Karena mengendalikan keseluruhan rentang IP ini kemungkinan tidak mungkin, penjelasan tentang bagaimana LuoYu mampu melakukan ini termasuk penggunaan router yang disusupi.

LuoYu sendiri telah beralih untuk menyalahgunakan mekanisme pembaruan otomatis dari aplikasi korban mereka. Setelah sebelumnya mendorong malware agar lebih mudah melakukan serangan lubang air di mana mereka akan menggunakan situs berita lokal yang disusupi sebagai vektor infeksi.

“Serangan man-on-the-side-sangat merusak, karena satu-satunya syarat yang diperlukan untuk menyerang perangkat adalah perangkat itu terhubung ke internet, bahkan jika serangan gagal untuk pertama kalinya, penyerang dapat mengulangi prosesnya berulang kali sampai mereka berhasil,”

Ishimaru mengatakan, kelompok ini menargetkan organisasi Korea dan Jepang setidaknya sejak 2014, LuoYu juga dikenal karena menyerang organisasi diplomatik asing di Tiongkok, komunitas akademik, dan organisasi dari berbagai sektor industri, termasuk pertahanan dan telekomunikasi. Bahkan, Tim Penelitian dan Analisis Global (GReAT) Kaspersky juga telah melihat infeksi sesekali di negara lain seperti Jerman, Austria, Amerika Serikat, Republik Ceko, Rusia, dan India.

Baru-baru ini, LuoYu juga mulai mengejar perusahaan-perusahaan di Asia Timur dan cabang-cabangnya yang berlokasi di China. Selain menargetkan perangkat Windows menggunakan WinDealer, kelompok peretas yang kurang dikenal ini sebelumnya telah diamati menyerang perangkat macOS, Linux, dan Android dengan malware Demsty (ReverseWindow) dan SpyDealer.

"LuoYu adalah aktor ancaman yang sangat canggih yang mampu memanfaatkan fungsionalitas yang hanya tersedia untuk penyerang paling dewasa. Kami hanya bisa berspekulasi tentang bagaimana mereka bisa mengembangkan kemampuan seperti itu," tutup Ishimaru.