Cyberthreat.id – Perusahaan keamanan siber AS, Proofpoint, menemukan perangkat lunak jahat (malware) baru yang ditulis dalam “Nim”, bahasa pemograman yang jarang digunakan untuk menyusun kode berbahaya.

Mereka menjulukinya “NimzaLoader” yang terdeteksi menyebar di dunia maya sejak 3 Februari 2021 oleh geng peretas TA800.

Geng tersebut menargetkan berbagai industri di Amerika Utara. Namun, jejak mereka juga telah terdeteksi ketika menggunakan malware “BazarLoader” pada April 2020.

NimzaLoader dirancang untuk memberi peretas akses ke komputer Windows. Selain itu, peretas juga mampu memakainya untuk menjalankan perintah yaitu mengendalikan malware untuk mengontrol mesin, mencuri informasi sensitif atau berpotensi menyebarkan malware tambahan.

NimzaLoader, menurut Proofpoint, dapat menghindari deteksi lantaran bahasa pemograman Nim yang digunakan pengembang. Bahasa coding ini jarang digunakan di ranah serangan siber dan menjadi sesuatu yang tak terduga oleh peneliti Proofpoint. Ini yang menurut mereka sulit menganalisis sampel malware-nya, demikian seperti dikutip dari ZDNet, diakses Minggu (14 Maret 2021).

Dalam menyebarkan NimzaLoader, peretas menggunakan email phishing untuk menginfeksi awal korban. Untuk meyakinkan calon korban mengklik tautan atau mengunduh PDF berbahaya, beberapa email phishing dibuat sedemikian rupa untuk menyesuaikan calon target, seperti halnya penyebutan detail pribadi (nama penerima dan atau nama perusahaan).

Email yang dikirimkan peretas TA800 ini, menurut Proofpoint, berisikan tautan yang akan mengarahkan korban ke pratinjau PDF. Ketika tautan diklik, pengguna diarahkan ke halaman berisikan PDF yang dihosting di Slack dengan ikon “Adobe” palsu untuk menipu korban.

PDF itulah yang kemudian dapat mengeksekusi atau mengunduh NimzaLoader ke komputer korban.

Isi email dan cara serangannya mirip dengan gaya geng TA800 dalam aksi phishing sebelumnya. Dari sinilah, Proofpoint  mengindikasikan bahwa NimzaLoader juga berasal dari peretas TA800, tapi telah menambahkan cara lain untuk menyerang.

"TA800 sering kali memanfaatkan malware yang berbeda dan unik,” ujar Sherrod DeGrippo, Direktur Senior Penelitian Dan Deteksi Ancaman Proofpoint

Karena melihat caranya yang sama, kemungkinan NimzaLoader juga sama dengan BazarLoader—yang ditawarkan di kalangan peretas sebagai malware untuk pijakan awal mendistribusikan malware lain. Hanya, tidak diketahui apakah NimzaLoader digunakan untuk menyebarkan ransomware seperti halnya BazarLoader yang disewa peretas lain untuk membawa ransomware Ryuk.[]

Redaktur: Andi Nugroho