Cyberthreat.id – Modus serangan siber ini cukup menarik. Peretas memanfaatkan aplikasi pesan daring populer, Telegram.

Namun, Telegram dijadikan kedok semata. Justru, peretas mengelabui calon korban dengan penginstal (installer) Telegram untuk PC/komputer yang berisi peranti lunak jahat (malware) berjuluk Purple Fox.

Installer tersebut berupa skrip Autolt yang dikompilasi bernama Telegram Dekstop.exe. Saat diinstal, dia menjatuhkan dua file: pertama, penginstal Telegram sebenarnya, dan lainnya adalah pengunduh file jahat.

“Sementara penginstal Telegram yang benar tak bisa dijalankan, program Autolt justru menjalankan pengunduh berupa TextInputh.exe,” demikian temuan perusahaan keamanan siber Minerva Labs, dikutip dari BleepingComputer, diakses Rabu (5 Januari 2022).

Ketika TextInputh.exe dijalankan, akan membuat folder baru ("1640618495") di bawah "C:\Users\Public\Videos\" dan sambungkan ke server kontrol dan perintah (C2) milik peretas untuk mengunduh peranti lunak utilitas 7z dan arsip RAR (1.rar).

Arsip RAR berisi muatan dan file kofigurasi, sedangkan program 7z membongkar semua isi ke folder ProgramData.

Berikut ini gambaran serangan malware yang telah diinstal di komputer yang dianalisis oleh Minerva Labs:

Setelah menginfeksi di mesin korban, malware bekerja mengumpulkan informasi sistem dasar, memeriksa apakah ada antivirus yang berjalan, dan mengirimkan semua data yang didapat ke alamat server C2 milik peretas yang di-hardcode.

Setelah proses pengintaian itu kelar, Purple Fox diunduh dari C2 dalam bentuk file .msi yang berisi kode shell terenkripsi untuk sistem 32 bit dan 64-bit.

Setelah eksekusi Purple Fox, mesin yang terinfeksi akan dihidupkan ulang agar pengaturan registri baru diterapkan, yang terpenting, Kontrol Akun Pengguna (UAC) yang dinonaktifkan.

Menonaktifkan UAC sangat penting karena setiap program yang berjalan pada sistem yang terinfeksi, termasuk virus dan malware, “telah malalui tangan” pemilik hak administrator.

Secara umum, UAC mencegah penginstalan aplikasi yang tidak sah atau perubahan pengaturan sistem, sehingga harus tetap aktif di Windows setiap saat.

Menonaktifkannya memungkinkan Purple Fox untuk melakukan fungsi berbahaya seperti pencarian dan eksfiltrasi file, pembunuhan proses, penghapusan data, pengunduhan dan menjalankan kode, dan bahkan worming ke sistem Windows lainnya.

Saat ini, tidak diketahui bagaimana malware didistribusikan, tetapi kampanye malware serupa yang meniru perangkat lunak yang sah didistribusikan melalui video YouTube, forum internet, dan situsweb perangkat lunak ilegal.[]