Cyberthreat.id – Peneliti dari perusahaan keamanan siber, Zscaler ThreatLabz, mengungkapkan bahwa malware pencuri informasi BlackGuard saat ini ditawarkan di forum peretasan Rusia.

Dikutip dari The Hacker News, dua orang peneliti bernama Mitesh Wani dan Kaivalya Khursale dalam laporannya mengungkapkan, bahwa malware yang sebelumnya tidak diketahui namanya itu ditawarkan di forum peretasan Rusia dengan biaya berlangganan bulanan sebesar US$200 atau senilai Rp 2.867.570.

“Jika ingin berlangganan untuk seumur hidup para penjahat siber harus membayar sebesar US$700 (Rp 10.036.495),” kata kedua peneliti tersebut.

Para peneliti itu mengatakan, malware BlackGuard memiliki kemampuan untuk mencuri semua jenis informasi milik pengguna. Khususnya sejumlah informasi yang berkaitan dengan dompet Crypto, VPN, Messenger, kredensial FTP, kredensial browser yang disimpan, serta email milik klien.

BlackGuard dirancang sebagai malware berbasis .NET yang secara aktif sedang dikembangkan. Mereka memiliki sejumlah fitur anti-analisis, anti-debugging, dan anti-penghindaran yang memungkinkannya mematikan proses yang terkait dengan mesin antivirus dan melewati deteksi berbasis string.

Bahkan, malware ini memiliki kemampuan untuk memeriksa alamat IP perangkat yang terinfeksi. Hal ini dilakukan dengan mengirimkan permintaan ke domain "https://ipwhois[.]app/xml/," dan keluar dengan sendirinya jika negara tersebut adalah salah satu dari Commonwealth of Independent States (CIS), merujuk kepada negara-negara bekas Uni Soviet.

Para peneliti menambahkan, fungsionalitas BlackGuard yang luas dapat digunakan oleh penjahat siber untuk mengumpulkan informasi yang disimpan di browser, seperti kata sandi, cookie, data isi otomatis, riwayat penelusuran, 17 dompet cryptocurrency yang berbeda. Malware ini juga dapat mengumpulkan informasi dari enam aplikasi perpesanan, termasuk Telegram, Signal, Tox, Element, Pidgin, dan Discord.

“Malware ini juga menargetkan 21 ekstensi dompet kripto yang dipasang di browser Chrome dan Edge, dan tiga aplikasi VPN NordVPN, OpenVPN, dan ProtonVPN, yang hasilnya kemudian dikompres menjadi arsip ZIP dan dieksfiltrasi ke server jarak jauh,” kata para peneliti.

Para peneliti menyebutkan, penemuan malware ini saat Morphisec mengungkapkan rincian keluarga malware pencuri informasi lain bernama Mars yang telah diamati memanfaatkan Google Ads palsu untuk perangkat lunak terkenal seperti OpenOffice untuk mendistribusikan malware.

“Sementara aplikasi BlackGuard tidak seluas pencuri lainnya, BlackGuard adalah ancaman yang berkembang karena terus ditingkatkan dan mengembangkan reputasi yang kuat di komunitas bawah tanah,” tutup para peneliti.[]

Editor: Yuswardi A. Suud