Cyberthreat.id – Penjahat siber di balik malware TrickBot terdeteksi kembali beroperasi dengan “gaya baru” setelah aktivitasnya diberantas oleh Koalisi Keamanan Siber dan Perusahaan Teknologi pada akhir tahun lalu.

“Dalam aksi terbaru yang kami amati di seluruh platform cloud Menlo Security, kami melihat para penyerang menggunakan iming-iming menarik untuk membuat penerima (email) mengklik dan menginstal malware,” tutur Menlo Security, perusahaan keamanan siber, dalam laporan terbarunya, Jumat (29 Januari 2021).

Menlo Security mengatakan dalam serangan terbarunya itu, TrickBot kali ini mengancam firma hukum dan asuransi di Amerika Utara, demikian seperti dikutip dari blog perusahaan, diakses Senin (1 Februari).

Sekedar diketahui, pada tahun lalu koalisi yang dibentuk oleh Microsoft, ESET, FS-ISCA, NTT, Lumen’s Black Lotus Lab, dan Symantec fokus dalam memberantas TrickBot.

TrickBot telah mengganggu perusahaan dan konsumen sejak 2016, menginfeksi lebih dari satu juta komputer. Dalam beberapa tahun terakhir, menurut Reseller News, TrickBot sering menjadi sorotan karena hubungannya dengan Ryuk, ransomware yang sangat canggih dan populer sepanjang tahun lalu.

TrickBot awalnya dikenal sebagai trojan yang menargetkan kartu pembayaran. Namun, berkembang menjadi platform “crimeware”, yaitu operator TrickBot menjual akses ke komputer yang terinfeksi ke grup peretas lain yang ingin mendistribusikan malware buatan mereka sendiri.

Salah satu grup tersebut, dan mungkin pelanggan terbesar TrickBot, adalah geng di belakang Ryuk, itulah sebabnya infeksi Ryuk sering kali didahului oleh infeksi TrickBot.

Pada Oktober 2020, Microsoft mengambil langkah hukum untuk menyita banyak nama domain yang dipakai untuk mengoperasikan server perintah dan kontrol TrickBot. Bekerja sama dengan perusahaan keamanan siber dan penyedia jasa internet (ISP), Microsoft mengambil kendali server.

Pada awal November, tidak ada server perintah-dan-kontrol (C&C) TrickBot yang masih aktif, tetapi para peneliti memperingatkan para penyerang ini banyak akal dan mungkin mencoba untuk membangun kembali botnet mereka.

Aksi TrickBot yang terdeteksi oleh Menlo Security melibatkan email spam dengan URL berbahaya yang, jika diklik, membawa pengguna melalui serangkaian pengalihan ke halaman yang berpura-pura sebagai pemberitahuan otomatis terhadap pelanggar lalu lintas.

Halaman itu memiliki tombol untuk mengunduh bukti foto pelanggaran, padahal nyatanya mengunduh arsip zip dengan file JavaScript berbahaya di dalamnya.

"JavaScript yang disematkan sangat disamarkan, yang merupakan taktik khas dari malware Trickbot," kata Menlo Security.

"Jika pengguna membuka file JavaScript yang diunduh, permintaan HTTP dibuat ke server C&C untuk mengunduh biner berbahaya terakhir."

Peneliti Menlo Security masih menganalisis muatan itu sendiri untuk melihat apakah ada perbedaan antara muatan itu dan sampel TrickBot yang sebelumnya telah dihapus oleh Microsoft dkk.

TrickBot memiliki arsitektur modular lebih dari dua lusin plug-in yang memiliki fungsi yang berbeda-beda.

Penggunaan URL berbahaya dalam email adalah teknik distribusi yang agak tidak biasa untuk TrickBot, yang secara tradisional didistribusikan melalui lampiran email palsu, seperti dokumen Word dan Excel yang diracuni atau file Java Network Launch Protocol (.jnlp).

Malware juga biasanya dikirimkan melalui Emotet, botnet lain yang baru-baru ini diberantas oleh Europol.[]

Redaktur: Andi Nugroho