Cyberthreat.id – Peneliti keamanan dari Cisco Talos, Chris Neal mengungkapkan bahwa malware LodaRAT muncul kembali dengan varian baru yang digunakan bersamaan dengan malware canggih lainnya, seperti RedLine Stealer dan Neshta.

Dikutip dari The Hacker News, LodaRAT juga telah diamati dikirim melalui varian trojan komoditas lain yang sebelumnya tidak dikenal yang disebut Venom RAT, yang diberi nama kode S500. Malware berbasis AutoIT, LodaRAT (alias Nymeria) ini, dikaitkan dengan grup bernama Kasablanca dan mampu mengambil informasi sensitif dari mesin yang disusupi.

“Kemudahan akses ke kode sumbernya menjadikan LodaRAT alat yang menarik bagi pelaku ancaman mana pun yang tertarik dengan kemampuannya,” kata Neal dalam laporannya.

Neal mengatakan, pada Februari 2021, malware versi Android muncul sebagai cara bagi pelaku ancaman untuk memperluas permukaan serangan mereka. Kemudian pada September 2022, Zscaler ThreatLabz menemukan mekanisme pengiriman baru yang melibatkan penggunaan pencuri informasi bernama Prynt Stealer.

Temuan terbaru dari Cisco Talos mendokumentasikan varian LodaRAT yang diubah yang telah terdeteksi di alam liar dengan fungsionalitas yang diperbarui, terutama memungkinkannya berkembang biak ke setiap perangkat penyimpanan yang dapat dilepas yang terpasang dan mendeteksi proses antivirus yang sedang berjalan.

Implementasi yang diubah juga dianggap tidak efektif karena mencari daftar eksplisit dari 30 nama proses berbeda yang terkait dengan vendor keamanan siber yang berbeda, yang berarti solusi yang tidak termasuk dalam kriteria pencarian tidak akan terdeteksi.

Termasuk penggunaan perangkat lunak keamanan yang dihentikan seperti Prevx, ByteHero, dan Norman Virus Control, menunjukkan bahwa ini mungkin merupakan upaya dari aktor ancaman untuk menandai sistem atau mesin virtual yang menjalankan versi Windows yang lebih lama.

Analisis artefak yang ditangkap lebih lanjut mengungkapkan penghapusan kode non-fungsional dan penggunaan pengaburan string menggunakan metode yang lebih efisien. Bundling LodaRAT bersama Neshta dan RedLine Stealer juga menjadi teka-teki, meskipun diduga bahwa "LodaRAT lebih disukai oleh penyerang untuk melakukan fungsi tertentu."

“Selama masa pakai LodaRAT, implan telah mengalami banyak perubahan dan terus berkembang, sementara beberapa dari perubahan ini tampaknya murni untuk peningkatan kecepatan dan efisiensi, membuat Loda menjadi malware yang lebih mumpuni,” kata Neal.