Cyberthreat.id – Perusahaan keamanan siber asal Rusia, Kaspersky, baru-baru ini menurunkan laporan tentang “pintu belakang” (backdoor) berjuluk “Tomiris”.

Menurut Kaspersky, perangkat lunak jahat (malware) tersebut dalam beberapa hal serupa dengan “Sunshuttle” alias GoldMax” yang dipakai geng hacker “DarkHalo” alias “Nobelium” yang meluncurkan serangan rantai pasokan ke perangkat lunak Orion milik SolarWinds akhir Desember 2020.

“Tugas utama Tomiris ialah mengirimkan malware tambahan ke mesin korban [yang telah terinfeksi],” tutur Kaspersky dalam unggahan di blog perusahaan, diakses Senin (4 Oktober 2021).

Dalam analisisnya, peneliti Kaspersky mendeteksi bahwa malware itu selalu berkomunikasi dengan server perintah dan kontrol (C&C) milik peretas, lalu mengunduh file yang dapat dieksekusi dari jarak jauh.

“Pakar kami juga menemukan varian [malware) pencuri file. Malware ini bisa memilih file terbaru dengan ekstensi tertentu (.doc, docx, .pdf, .rar, dan sebagainya), kemudian mengunggahnya ke server perintah dan kontrol (C&C milik peretas,” kata Kaspersky.

Karakteristik “Tomiris” yaitu dilengkapi dengan berbagai fitur untuk mengelabui perangkat lunak antivirus, misal, saat menyusup, malware tidak melakukan apa pun selama 9 menit. Penundaan inilah yang dimungkinkan untuk menipu mekanisme deteksi berbasis sandbox.

Apalagi, kata Kaspersky, alamat server C&C tidak dikodekan langsung di dalam “Tomiris”.

Cara Tomiris menginfeksi

Untuk mengirimkan backdoor, penjahat dunia maya menggunakan pembajakan Domain Name System(DNS hijacking) untuk mengarahkan lalu lintas dari server email organisasi korban ke situs jahat peretas.

Dengan begitu, peretas dapat memikat klien ke halaman yang terlihat seperti halaman login layanan email yang sebenarnya. Secara alami, ketika seseorang memasukkan kredensial di halaman palsu, para penjahat segera mendapatkan kredensial itu.

“Tentu saja, situs web itu terkadang meminta pengguna menginstal pembaruan keamanan agar berfungsi. Dalam hal ini, pembaruan sebenarnya adalah pengunduh untuk ‘Tomiris’,” tulis Kaspersky.

Namun, kata perusahaan, “Metode pengiriman malware di atas tidak akan berfungsi jika komputer yang mengakses antarmuka email web dilindungi oleh solusi keamanan yang tangguh,” katanya.[]