Awas Trojan PoetRAT Disebar via Email Phishing Covid-19

Cyberthreat.id – Cisco Talos, perusahaan keamanan siber asal Maryland, AS baru-baru ini mengeluarkan temuan terkait serangan siber yang berkedok virus corona (Covid-19).

Dalam laporan yang terbit pada Kamis (16 April 2020), peneliti Warren Merce, Paul Rascagners, dan Vitor Ventura menyatakan, ada kelompok peretas (hacker) yang menargetkan lembaga pemerintah dan sektor energi.

Peretas menggunakan PoetRAT, sebuah trojan akses jarak jauh (Remote Access Trojan/RAT), demikian tulis ZDNet, Jumat (17 April 2020).

Selain serangan Trojan PoetRAT, para peneliti juga menemukan situs web phishing yang ditaruh di infrastruktur yang sama yang meniru sistem webmail pemerintah Azerbaijan. "Berdasarkan penelitian kami, penyerang mungkin ingin memperoleh kredensial penting dari para pejabat di pemerintahan Azerbaijan,” tutur peneliti.

Awal serangan

Menurut tim peneliti, malware menyerang sistem pengawasan dan akuisisi data (supervisory control and data acquisition/SCADA), yang biasa digunakan untuk mengelola jaringan energi dan sistem manufaktur. Mereka juga mengatakan, korban yang ditagetkan pertama-tama menerima email phishing dengan lampiran dokumen Microsoft Word berbahaya.

Upaya email phishing yang ditemukan, seperti dokumen berlabel "C19.docx” yang merujuk informasi pandemi Covid-19 dan konten yang mengaku berasal dari pemerintah Azerbaijan dan Kementerian Pertahanan India.

"Melihat kasus ini, penjahat tampaknya menargetkan warga negara Azerbaijan, termasuk perusahaan swasta di sektor SCADA seperti sistem PLTA," kata tim peneliti.

Jika phishing itu dibuka, malware mengaktifkan PoetRAT. Dinamai begitu karena referensi dalam kode tertulis penulis sastra William Shakespeare.

Alih-alih dimuat langsung sebagai executable, malware itu ditulis ke disk sebagai arsip bernama "smile.zip”. File .zip berisi skrip Python.

Ditulis dengan Python, Trojan terdiri dari dua skrip utama. Yang pertama, "frown.py” digunakan untuk berkomunikasi dengan server perintah-dan-kontrol (C2) malware. Enkripsi TLS digunakan untuk mengirim informasi dari mesin yang terinfeksi ke operator Trojan.

Skrip kedua, "smile.py” menjalankan serangkaian perintah lain, seperti daftar direktori, exfiltrating informasi PC, mengambil screenshot, menyalin, memindahkan, dan mengarsipkan konten, mengunggah file yang dicuri, dan membunuh, menghapus, atau menghentikan proses. PoetRAT juga dapat mengambil alih kontrol webcam dan mencuri kata sandi.

Alat menarik yang diperhatikan oleh para peneliti adalah dog.exe—modul .NET malware yang memonitor jalur-jalur hard drive dan secara otomatis mengumpulkan data melalui akun email atau Files Transfer Protocol (FTP).

Untuk bertahan dalam serangan, malware menciptakan kunci registri dan dapat membuat modifikasi pada registri itu sendiri untuk memotong cek penghindaran “kotak pasir” (sanbox)—mekanisme sistem keamanan komputer untuk memisahkan program tidak tepercaya dari pihak ketiga yang tidak terverifikasi.[]