Cyberthreat.id – Serangan Operation NightScout ini bukan kepalang. Bidikannya mencapai 150 juta pengguna NoxPlayer di 150 negara. Kendati masih berfokus pada tiga negara (Taiwan, Hongkong, dan Sri Lanka), gamer Indonesia patut meningkatkan kewaspadaannya.

Serangan ini menargetkan pemain game online dengan mengorbankan mekanisme pembaruan NoxPlayer, emulator Android gratis untuk PC dan Mac. Serangan tersebut melibatkan pendistribusian tiga keluarga malware yang berbeda melalui pembaruan berbahaya.

Dikembangkan BigNox yang berbasis di Hong Kong, NoxPlayer adalah emulator Android yang memungkinkan pengguna memainkan game seluler di PC, dengan dukungan keyboard, gamepad, perekaman skrip, dan banyak contoh.

Tanda-tanda pertama serangan ditemukan pada September 2020, berlanjut hingga "aktivitas yang secara eksplisit berbahaya" ditemukan pada 25 Januari 2021. Temuan itulah yang mendorong firma keamanan siber Slovakia, ESET, melaporkannya ke BigNox. ESET adalah yang memberi nama serangan tersebut sebagai Operation NightScout.

"Berdasarkan perangkat lunak yang disusupi dan perangkat lunak perusak yang dikirimkan menunjukkan kemampuan pengawasan, kami yakin ini mungkin menunjukkan maksud memata-matai target yang terlibat dalam komunitas game," kata peneliti ESET Ignacio Sanmillan seperti dikutip dari The Hacker News, Senin (1 Februari 2021).

Pola seranganya melalui mekanisme pembaruan NoxPlayer yang berfungsi sebagai vektor untuk mengirimkan versi trojan dari perangkat lunak kepada pengguna yang, setelah instalasi, mengirimkan tiga muatan berbahaya yang berbeda seperti Gh0st RAT untuk memata-matai korbannya, menangkap penekanan tombol, dan mengumpulkan informasi sensitif .

Secara terpisah, para peneliti juga menemukan contoh di mana binari malware tambahan seperti PoisonIvy RAT diunduh oleh pembaru BigNox dari server jarak jauh yang dikendalikan penyerang.

"PoisonIvy RAT hanya terlihat dalam aktivitas setelah pembaruan berbahaya awal dan diunduh dari infrastruktur yang dikendalikan penyerang," kata Sanmillan.

Pertama kali dirilis pada 2005, PoisonIvy RAT telah digunakan dalam beberapa serangan malware profil tinggi, terutama dalam kompromi data RSA SecurID tahun 2011.

Memperhatikan bahwa pemuat malware yang digunakan dalam serangan itu memiliki kesamaan dengan kompromi situs web kantor kepresidenan Myanmar pada 2018 dan pelanggaran universitas Hong Kong tahun lalu, ESET mengatakan operator di balik serangan itu melanggar infrastruktur BigNox untuk menampung malware, dengan bukti yang menyinggung fakta bahwa infrastruktur API-nya mungkin telah disusupi.

"Agar aman, jika terjadi intrusi, lakukan instal ulang standar dari clean media," kata Sanmillan. "Untuk pengguna NoxPlayer yang tidak terinfeksi, jangan mengunduh pembaruan apa pun hingga BigNox mengirimkan pemberitahuan bahwa mereka telah mengurangi ancaman tersebut. Selain itu, praktik terbaik adalah mencopot pemasangan perangkat lunak."[]