PyVil RAT, Malwere Trojan Spesialisasi Menargetkan Pelaku Fintech
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Cybereason, perusahaan keamanan siber asal Boston, AS, mendeteksi operasi penyebaran perangkat lunak jahat (malware) “Evilnum”.
Kategori trojan—menyaru sebagai aplikasi sah—tersebut memperbarui taktik serangan dibandingkan sebelumnya.
Dalam laporannya, Cybereason mengatakan, Evilnum biasanya baru ditulis dalam Javascript dan C#, tapi sekarang menggunakan alat baru. Kali ini, aktor di balik Evilnum menggembangkan trojan akses jarak jauh (RAT) dengan skrip Python—terlihat dalam beberapa minggu terakhir bersamaan dengan serentetan serangan baru.
Karena aktivitas baru itu, peneliti di Cybereason menjulukinya “PyVil RAT”.
Trojan tersebut memungkinkan penyerang untuk secara diam-diam mencuri informasi perusahaan melalui penggunaan keylogging dan mengambil tangkapan layar, serta kemampuan untuk mengumpulkan informasi tentang sistem yang terinfeksi, termasuk versi Windows yang mana sedang berjalan, produk antivirus apa yang diinstal dan apakah perangkat USB terhubung.
Evilnum dikenal sejak 2018 dan menargetkan perusahaan teknologi finansial (fintech) dengan tujuan mencuri alamat email, kata sandi, dan informasi sensitif perusahaan.
Evilnum termasuk malware yang dipakai geng peretas tingkat tinggi, populer disebut advanced persistent threat (APT), demikian seperti dikutip dari ZDNet, diakses Minggu (6 September 2020).
Geng peretas ini memiliki spesialisasi menyerang pelaku fintech yang sebagian besar berada di Eropa dan Inggris, juga sebagian di AS dan Australia.
Bagaimana serangan dimulai?
Peretas Evilnum biasanya memakai teknik email spear-phishing. Begitu pula dengan PyVil RAT. Penyebaran malware dimulai dengan email yang berisi file .LNK yang menyamar sebagai berkas PDF.
Email itu mengklaim berisi dokumen identifikasi yang terkait dengan perbankan, termasuk tagihan layanan publik, laporan mutasi kartu kredit, dan bahkan foto SIM.
Jika dibuka, file akan memulai urutan yang pada akhirnya melihat mesin yang disusupi terhubung ke server perintah dan kontrol Evilnum dan malware trojan jatuh ke sistem, dan mampu memberikan instruksi dan potensi fungsionalitas tambahan ke PyVil - semuanya tetap tersembunyi dari korban.
Masih belum jelas siapa sebenarnya penjahat di balik Evilnum. Namun, melihat sifat serangan yang sangat bertarget dan terus-menerus mengubah taktik, para peneliti meyakini operasi peretas ini tergolong profesional dan memiliki sumber daya yang baik.
"Cara perlindungan terbaik adalah meningkatkan keamanan, dan mengajari karyawan agar tidak tertipu membuka email phishing dan tidak mengunduh informasi dari situs web yang meragukan,"kata Tom Fakterman, peneliti ancaman di Cybereason.[]
