Cyberthreat.id – Positive Technologies, perusahaan keamanan siber asal Korea Selatan, menemukan perangkat lunak jahat (malware) yang menggunakan aplikasi Telegram untuk mengelola backdoor (pintu belakang).

Riset yang dilakukan peneliti menyebutkan bahwa peretas menggunakan malware yang sudah dikenal, seperti Impacket, Mimikatz, dan alat tunneling trafik jaringan (Chisel, dnscat, Gost, dan lainnya) untuk menembus jaringan target.

Selain itu, ada juga malware baru yang belum tersebar luas, yaitu trojan akses jarak jauh yang menggunakan API Telegram untuk mengunduh data.

Peneliti menjulukinya “TgRAT” alias Telegram Remote Access Trojan.

“Malware ini dikembangkan untuk menargetkan perangkat tertentu yang memang diinginkan oleh peretas,” tutur Positive Technologies dalam unggahan di blog perusahaan, Rabu (14 Desember 2022).

Pertama-tama, TgRAT memeriksa nama perangkat yang menjalankannya. Jika nama tidak cocok dengan nilai yang disematkan di program, malware akan berhenti. “Jelas, malware dikembangkan secara khusus untuk komputer tertentu,” ujar perusahaan.

Saat penyelidikan kode sumber malware tersebut, peneliti belum melihatnya tersedia secara publik, sehingga belum banyak perangkat antivirus untuk mendeteksinya.

Sebagai gantinya, Positive menyarankan agar memantu trafik yang datang dari peladen infrastruktur internal perusahaan ke peladen Telegram.

“Selain itu, perlu memantau aliran data dalam jaringan. Ini akan memungkinkan Anda untuk mengidentifikasi terowongan jaringan dan komunikasi yang tidak biasa antar server. Terakhir, penting juga untuk melindungi semua perangakt infrastruktur dengan alat antivirus dan menggunakan sandbox,” tutur perusahaan.

Kepala PT Expert Security Center Threat Response, Positive Technologies, Denis Goydenko, mengatakan saat ini banyak perusahaan menggunakan Telegram sebagai messenger perusahaan.

Hal tersebut yang mendorong penyerang mengembangkan alat untuk mengeksploitasi API Telegram untuk secara diam-diam mengelola backdoor dan mengunduh informasi sensitif.

“Salah satu pendekatan yang paling efektif untuk mendeteksi kebocoran tersebut adalah dengan menggunakan perangkat lunak antivirus di semua host, termasuk server, serta sistem analisis lalu lintas mendalam (NTA), sandbox, dan alat deteksi dan respons titik akhir (EDR),” kata Denis.[]