Bratislava, Cyberthreat.id - Fans film Korea perlu mewaspadai operasi penyebaran malware melalui situs-situs torrent yang menyamar di balik file film dan serial televisi. Malware ini bisa dimanfaatkan hacker untuk menghubungkan komputer yang terinfeksi dengan botnet dan mengendalikannya jarak jauh. Begitu penemuan periset ESET yang dimuat situs resmi perusahaan antivirus Slowakia tersebut.

Malware ini merupakan modifikasi dari backdoor GoBot2. Modifikasi kodenya menyangkut teknik penyamaran yang dikhususkan untuk Korea Selatan. Karena operasi ini fokus ke Korea Selatan, ESET menamakan Win64/GoBot2 ini sebagai GoBotKR. Malware ini sudah aktif sejak Maret 2018 dan ratusan komputer sudah terinfeksi. Korea Selatan yang paling banyak (80%), diikuti China (10%), dan Taiwan (5%). 

Hacker di balik operasi ini menggunakan nama, ekstensi, dan ikon file yang terkesan tidak berbahaya. Analis ESET menemukan bahwa file jahat di torrent ini mempunyai ciri:
1. File MP4 yang sahih.
2. File arsip PMA yang sebenarnya malware namun menyaru sebagai installer codec (software kompresor video digital).
3. File LNK dengan nama dan ikon seperti file video.

File-file malware di torrent (Image by ESET) 

Memainkan file MP4 tidak berisiko apa-apa. Masalahnya, file MP4 ini sering disembunyikan di folder lain. Pengguna biasanya justru menemukan file LNK yang mirip file video. Mengubah ekstensi EXE menjadi PMA juga merupakan upaya untuk mengelabui calon korban. Teknik seperti ini juga biasa menggunakan game sebagai kedok malware. Contoh file berbahaya yang menyamar antara lain: starcodec.pma, WedCodec.pma, dan Codec.pma. Nama "starcodec" meniru Starcode, paket codec Korea yang sahih.

GoBotKR dan GoBot2 ditulis dalam bahasa GoLang. Fiturnya diimplementasikan dengan Golang library dan eksekusi perintah Windows seperti cmd, ipconfig, netsh, shutdown, start, systeminfo, taskkill, ver, whoami, dan wmic. Malware ini juga bisa menggunakan peranti lunak pihak ke-3 seperti BitTorrent and uTorrent. GoBotKR juga menganalisis software antimalware yang ada di komputer calon korban.  Dia akan mematikan dirinya sendiri jika mendeteksi adanya antimalware atau antivirus.

ESET menyakini bahwa aktor di balik operasi GoBotKR ini sedang membangun jaringan bot atau botnet. Komputer-komputer yang disusupi backdoor akan dihubungkan ke server command and control (C&C). Komputer-komputer bot atau zombie ini bisa digunakan hacker untuk melancarkan serangan distributed denial of service (DDoS) ke target tertentu. Satu botnet bisa berisi ratusan komputer atau jutaan komputer. Yang terbesar yang pernah diungkap pada 2010 adalah botnet Bredolab yang mengendalikan 30 juta komputer. Botnet ini menyerang dengan mengirimkan 3 miliar email yang berisi malware setiap hari.