Liputan6.com, Jakarta - Tim riset Kaspersky Global Research and Analysis (GReAT) menemukan malware canggih yang memiliki kemampuan kontrol webcam, mencuri password, hingga manajemen desktop dari jarak jauh.
Rupanya, malware berbahaya jenis Trojan Akses Jarak Jauh yang dijuluki SambaSpy ini secara eksklusif menargetkan pengguna di Italia.
Advertisement
Mengutip keterangan Kaspersky, Senin (23/9/2024), serangan malware ini beda dengan serangan lainnya yang biasanya menjangkau banyak negara dan bahasa. Kampanye serangan malware SambaSpy ini dianggap menonjol karena penargetannya yang tepat.
Malware tersebut direkayasa untuk hanya menginfeksi pengguna yang sistemnya disetal ke Bahasa Italia. Hal ini memastikan kemungkinan keberhasilannya maksimum di wilayah ini.
Telemetri Kaspersky menyebut, kampanye ini telah dimulai sejak Mei 2024 dan tidak menunjukkan tanda-tanda melambat.
Peneliti Keamanan Siber Senior di GReAT Kaspersky, Giampaolo Dedola, mengatakan pihaknya terkejut dengan penargetan yang sempit dari serangan malware ini.
"Biasanya, penjahat siber bertujuan untukmenginfeksi sebanyak mungkin pengguna, tetapi rantai infeksi SambaSpy mencakup pemeriksaan khusus untuk memastikan bahwa hanya pengguna Italia yang terpengaruh," kata Dedola.
Menurutnya, Kaspersky telah mengidentifikasi dua rantai infeksi yang sedikit berbeda yang digunakan dalam kampanye malware berbahaya tersebut.
Dimulai dengan Email Phishing
Salah satu metode infeksi yang dipakai sangat rumit dimulai dengan email phishing. Phishing tersebut berupa email yang seolah dari perusahaan real estat Italia yang sah.
Email tipuan tersebut meminta pengguna untuk melihat faktur dengan mengeklik link yang disematkan.
Link atau tautan ini mengarahkan pengguna ke layanan cloud Italia yang sah yang digunakan untuk pengelolaan faktur.
Namun, pengguna malah diarahkan ke server web berbahaya. Server tersebut merupakan tempat malware memvalidasi pengaturan browser dan bahasa. Jika pengguna menjalankan Edge, Firefox, atau Chrome dengan pengaturan bahasa Italia, mereka diarahkan ke URL OneDrive berbahaya yang berisi PDFtersematkan malware.
Selanjutnya, hal ini memulai pengunduhan dropper atau downloader, yang keduanya akhirnya mengirimkan SambaSpy RAT.SambaSpy adalah RAT berfitur lengkap yang ditulis dalam Java dan disamarkan menggunakan Zelix KlassMaster.
Advertisement
Berbagai Aktivitas Ilegal yang Bisa Dilakukan Malware SambaSpy
Malware canggih ini dapat melakukan berbagai aktivitas berbahaya, misalnya:
- Manajemen sistem file dan proses
- Kontrol webcam
- Pencatatan penekanan tombol (Keystroke logging) dan manipulasi clipboard
- Manajemen desktop jarak jauh
- Pencurian kata sandi dari browser utama seperti Chrome, Edge, dan Opera
- Pengunggahan dan pengunduhan file
- Kemampuan untuk memuat plugin tambahan saat runtime
- Mekanisme pemuatan plugin SambaSpy dan penggunaan pustaka seperti JNativeHook menunjukkan tingkat kecanggihan yang digunakan oleh para penyerang.
Pelaku Ada di Brasil?
Meskipun target utamanya adalah pengguna Italia, peneliti Kaspersky telah mengidentifikasi hubungan yang kuat dengan Brasil.
Komentar dan pesan kesalahan dalam kode berbahaya ditulis dalam bahasa Portugis Brasil, yang menunjukkan bahwa pelaku ancaman di balik serangan tersebutbisa jadi merupakan berasal dari Brasil.
Lebih jauh, infrastruktur yang digunakan dalam kampanye tersebut telah dikaitkan dengan serangan lain di Brasil dan Spanyol, meskipun alat infeksi di wilayahini sedikit berbeda dari yang digunakan di Italia.
Advertisement