Trojan Gootkit Bangkit Lagi Bersama Ransomware REvil setelah Setahun Menghilang
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Gootkit, trojan pencuri informasi, bangkit lagi setelah “liburan” panjangnya selama hampir setahun. Baru-baru ini, malware ini menargetkan pengguna internet di Jerman.
Trojan Gootkit adalah malware berbasis Javascript yang melakukan berbagai aktivitas berbahaya, termasuk akses jarak jauh, tangkapan keystroke, perekaman video, pencurian email, pencurian kata sandi, dan kemampuan untuk menyuntikkan skrip berbahaya untuk mencuri kredensial perbankan online.
Tahun lalu, operator di balik Gootkit mengalami kebocoran data setelah meninggalkan database MongoDB yang terekspos di internet. Setelah pelanggaran ini, mereka ditengarai menghentikan operasinya sampai hidup kembali awal November lalu, tulis BleepingComputer, Senin (30 November 2020).
Pada pekan lalu, peneliti keamanan siber yang dikenal dengan nama “The Analyst” menemukan aktivitas Gootkit yang muncul lagi dalam serangan yang menargetkan pengguna internet Jerman. Mereka bergabung dengan grup peretas ransomware REvil.
Dalam operasi terbarunya, peretas mengintrusi situs web WordPress dan memanfaatkan SEO berbahaya untuk menampilkan posting forum palsu kepada pengunjung. Posting ini berpura-pura sebagai pertanyaan dan jawaban (Q&A) dengan tautan ke formulir atau unduhan palsu.
Saat pengguna mengklik link tersebut, mereka akan men-download file ZIP yang berisi file JavaScript yang dikaburkan dan akan menginstal Gootkit atau ransomware REvil .
Metode distribusi yang sama ini sebelumnya digunakan oleh REvil pada September 2019, waktu yang sama dengan hilangnya Gootkit.
Sementara, peneliti keamanan siber dari Malwarebytes menjelaskan bahwa muatan JavaScript berbahaya itu akan melakukan serangan tanpa file baik pada Gootkit atau REvil.
Saat diluncurkan, skrip JavaScript akan terhubung ke server perintah dan kontrolnya dan mengunduh skrip lain yang berisi muatan malware berbahaya.
Dalam analisis Malwarebytes, muatan tersebut biasanya ialah Gootkit, tetapi dalam beberapa kasus juga REvil.
Menggunakan muatan yang dikaburkan dan memecahnya menjadi beberapa bagian yang disimpan di Registri, mempersulit perangkat lunak keamanan (antivirus/antimalware) untuk mendeteksi muatan berbahaya.
"Pelaku ancaman di balik kampanye ini menggunakan pemuat yang sangat pintar yang melakukan sejumlah langkah untuk menghindari deteksi. Mengingat bahwa muatan disimpan dalam Registri di bawah kunci yang secara acak, banyak produk keamanan tidak akan dapat mendeteksi dan menghapusnya," Malwarebytes menjelaskan.[]
Redaktur: Andi Nugroho
INFO:
