Cyberthreat.id – Perusahaan keamanan cloud Qualys mengungkapkan bahwa pelaku ancaman di balik kampanye malware BitRAT menggunakan informasi yang dicuri dari nasabah bank di Kolombia sebagai umpan dalam email phishing yang dirancang untuk menginfeksi target.

Dikutip dari Bleeping Computer, perusahaan menemukan bahwa infrastruktur bank koperasi Kolombia yang dirahasiakan telah dibajak oleh penyerang saat menyelidiki umpan BitRAT dalam serangan phishing aktif.

“Sebanyak 418.777 catatan berisi data sensitif pelanggan, termasuk nama, nomor telepon, alamat email, alamat, ID nasional Kolombia, catatan pembayaran, dan informasi gaji, dicuri dari server yang dilanggar,” kata Qualys.

Saat menyelidiki kampanye tersebut, Qualys juga menemukan bukti bahwa penyerang telah mengakses data pelanggan, termasuk log yang menunjukkan bahwa mereka mencari bug injeksi SQL menggunakan alat sqlmap. Selain itu, iming-iming itu sendiri berisi data sensitif dari bank untuk membuatnya tampak sah. Ini berarti penyerang telah mendapatkan akses ke data pelanggan.

“Saat menggali infrastruktur lebih dalam, kami mengidentifikasi log yang mengarah ke penggunaan alat sqlmap untuk menemukan potensi kesalahan SQLi, bersama dengan pembuangan basis data yang sebenarnya,” kata perusahaan tersebut.

Saat ini, tidak ada informasi yang dicuri dari server bank Kolombia yang ditemukan di web gelap atau situs clearweb yang dipantau oleh Qualys. Malware dikirim ke komputer korban melalui file Excel berbahaya yang menjatuhkan dan mengeksekusi file INF yang disandikan dalam makro yang sangat dikaburkan yang dibundel dengan lampiran.

Payload BitRAT terakhir kemudian diunduh dari repositori GitHub menggunakan pustaka WinHTTP pada perangkat yang disusupi dan dijalankan dengan bantuan fungsi WinExec. Selama tahap terakhir serangan, malware RAT memindahkan pemuatnya ke folder startup Windows untuk mendapatkan persistensi dan memulai ulang secara otomatis setelah sistem dinyalakan ulang.

Sejak setidaknya Agustus 2020, BitRAT telah dijual sebagai malware siap pakai di pasar web gelap dan forum kejahatan dunia maya hanya dengan $20 untuk akses seumur hidup. Setelah membayar lisensi, setiap "pelanggan" menggunakan pendekatan mereka sendiri untuk menginfeksi korban dengan malware ini, seperti phishing, watering hole, dan perangkat lunak trojan.

BitRAT yang sangat serbaguna dapat digunakan untuk berbagai tujuan jahat, termasuk merekam video dan audio, pencurian data, serangan DDoS, penambangan mata uang kripto, dan mengirimkan muatan tambahan.

"Komersial siap pakai, RAT telah mengembangkan metodologi mereka untuk menyebarkan dan menginfeksi korban mereka," kata insinyur senior riset ancaman Qualys, Akshat Pradhan.