Kaspersky Temukan Trojan Spyware, Menyusup di Aplikasi Visa dan Mencuri Data

Cyberthreat.id - Sebuah trojan mata-mata baru (spyware) ditemukan telah menargetkan entitas diplomatik Eropa melalui aplikasi visa palsu. Spyware ini dibangun di atas basis kode yang sama dengan COMPFun.

Pada November 2019, sebuah malware baru terdeteksi dan ditemukan menargetkan badan-badan diplomatik di Eropa. Dropper awal disebarkan sebagai aplikasi visa palsu. Spyware menyebar pada perangkat pengguna untuk mengumpulkan dan mengirimkan data kepada hacker dan digunakan oleh beberapa APT.

Kode malware ini sangat mirip dengan COMPFun dan pertama kali dilaporkan pada 2014.

Fungsi trojan ini termasuk mengumpulkan geolokasi, data terkait jaringan dan host, tangkapan layar, dan keylogging.

Aplikasi yang sah dienkripsi di dalam dropper, bersama dengan malware tahap 32-bit dan 64-bit berikutnya.

Berdasarkan ilmu viktimologi yang mempelajari tentang korban, malware ini dikaitkan dengan aktivitas Advanced Persistent Threat (APT) Turla. Kaspersky dalam keterangannya mengatakan kelompok hacker pelaku melakukan aksinya dengan berbagai pendekatan.

"Kombinasi pendekatan yang terencana dengan baik, dengan target dan kemampuan untuk menjalankan rencana mereka membuat developer malware di belakang COMPFun menjadi sebuah tim ofensif yang kuat," tulis Kaspersky.

Apa yang bisa dilakukan?

1. Pengguna diminta melakukan pemeriksaan keamanan rutin terhadap infrastruktur TI perusahaan.

2. Gunakan solusi keamanan endpoint yang tangguh.

3. Sediakan tim Security Operation Center (SOC) dengan Threat Intelligence yang lebih baik.

Yang perlu diperhatikan?

Trojan lengkap (full-fledged) ini mampu menyebar sendiri di perangkat yang dapat dilepas (removable).

Tahun lalu, developer COMPFun dikenal dalam dua kali aktivitas jahat. Insiden pertama terjadi saat mereka melewati (bypass) lalu lintas terenkripsi TLS melalui patching fungsi sistem PRNG. Insiden kedua adalah implementasi komunikasi C2 menggunakan kode berbasis status HTTP.