Cyberthreat.id – Peneliti keamanan siber dari SEKOIA mengungkapkan jika saat ini penjahat siber beralih ke pencuri informasi berbasis Go baru bernama “Aurora”.

Mereka menggunakan malware ini untuk mencuri informasi sensitif dari browser dan aplikasi mata uang kripto, mengekstraksi data langsung dari disk, dan memuat muatan tambahan.

Dikutip dari Bleeping Computer, setidaknya tujuh cybergang terkenal dengan aktivitas signifikan telah mengadopsi Aurora secara eksklusif, atau bersama dengan Redline dan Raccoon, dua keluarga malware pencuri informasi lainnya. Secara bersamaan, Aurora juga menawarkan fitur pencurian data tingkat lanjut dan mungkin stabilitas infrastruktur dan fungsional.

“Alasan peningkatan popularitas Aurora yang tiba-tiba ini adalah tingkat deteksi yang rendah dan status yang tidak diketahui secara umum, membuat infeksinya cenderung tidak terdeteksi,” ujar peneliti SEKOIA.

Menurut peneliti, Aurora pertama kali diumumkan pada April 2022 di forum berbahasa Rusia, diiklankan sebagai proyek botnet dengan fitur mencuri informasi dan akses jarak jauh yang canggih. Seperti yang dilaporkan KELA awal tahun ini, penulis Aurora ingin membentuk tim penguji kecil untuk memastikan produk akhir cukup baik.

Namun, pada akhir Agustus 2022, SEKOIA menyadari bahwa Aurora diiklankan sebagai pencuri, sehingga proyek tersebut mengabaikan tujuannya untuk membuat alat multifungsi.

Untuk menyewa malware ini, pengguna akan dikenaik biasa $250 (Rp 3.930.137) per bulan atau $1.500 (Rp 23.580.825) untuk lisensi seumur hidup. Nilai ini dianggap setara dengan berbagai fitur canggih yang dimiliki oleh Aurora.

Peneliti menjelaskan, setelah dieksekusi, Aurora menjalankan beberapa perintah melalui WMIC untuk mengumpulkan informasi host dasar, mengambil gambar desktop, dan mengirimkan semuanya ke C2. Selanjutnya, malware menargetkan data yang disimpan di beberapa browser (cookie, kata sandi, riwayat, kartu kredit), ekstensi browser cryptocurrency, aplikasi desktop dompet cryptocurrency, dan Telegram.

Aplikasi wallet digital yang ditargetkan termasuk Electrum, Ethereum, Exodus, Zcash, Armory, Bytecoin, Guarda, dan Jaxx Liberty. Semua data yang dicuri dibundel dalam satu file JSON berenkode base64 dan dieksfiltrasi ke C2 melalui port TCP 8081 atau 9865.

“Kami tidak dapat mengonfirmasi keberadaan pengambil file yang berfungsi seperti yang dijanjikan pembuat malware,” kata peneliti.

Namun, para analis mengamati pemuat malware Aurora yang menggunakan “net_http_Get” untuk menjatuhkan muatan baru ke sistem file menggunakan nama acak dan kemudian menggunakan PowerShell untuk menjalankannya.

Saat ini, Aurora didistribusikan kepada para korban melalui berbagai saluran, yang diharapkan dengan melibatkan tujuh operator berbeda. peneliti mengetahui bahwa situs phishing mata uang kripto dipromosikan melalui email phishing dan video YouTube yang tertaut ke perangkat lunak palsu dan situs katalog curang. Untuk daftar lengkap IoC (indikator kompromi) dan situs yang digunakan untuk distribusi Aurora, periksa repositori GitHub SEKOIA.