New York, Cyberthreat.id- Peneliti Juniper Threat Labs menemukan sebuah spyware komersial yang dijuluki Masad Clipper and Stealer, yang menggunakan Telegram bot sebagai hub Command and Control (C2).

Spyware ini mengambil informasi dari pengguna Windows dan Android, sambil menghadirkan kemampuan jahat lainnya, termasuk kemampuan untuk mencuri mata uang kripto dari dompet korban.

Selain itu, informasi yang dicuri dari spywrae ini,   mencakup data formulir browser dengan nama pengguna dan kata sandi untuk berbagai situs, informasi kontak dan data kartu kredit, Informasi PC dan sistem, daftar perangkat lunak dan proses yang diinstal, file desktop, tangkapan layar, cookie browser, pesan discord dan Telegram, dan file FileZilla.

Menurut analisis dari Juniper Threat Labs, salah satu hal yang paling menarik tentang spyware ini, adalah bahwa ia mengirimkan data yang dikumpulkannya dari para korban ke bot Telegram yang bertindak sebagai server C2.

“Setelah menerima permintaan ini, bot membalas dengan objek pengguna yang berisi nama pengguna bot. Objek nama pengguna ini berguna untuk mengidentifikasi pelaku ancaman yang mungkin terkait dengan malware ini,” kata peneliti Juniper seperti dikutip dari ThreatPost, Sabtu, (28 September 2019).

Untuk menghubungkan ke bot C2, Masad Clipper and Stealer,  pertama-tama mengirim pesan getMe menggunakan token bot hardcoded untuk mengonfirmasi bahwa bot masih aktif.

Kemudian, setelah memanen serangkaian data dan mengkompilasinya ke folder ZIP, ia mengirim folder itu bersama menggunakan sendDocument API.

“Ini merupakan pertimbangan penting karena sifat malware ini yang tidak ada di pasaran. Banyak pihak akan mengoperasikan mesin Masad Stealer untuk tujuan yang berbeda,” ungkap para Peneliti.

Para peneliti juga menuturkan, lebih dari 1.000 sampel yang diidentifikasi yang beroperasi di alam bebas sebagai varian Masad, dan ada 338 bot Telegram C2 yang unik.

"Dari data ini, kami dapat memperkirakan jumlah aktor ancaman, atau setidaknya jumlah kampanye berbeda yang dijalankan menggunakan malware Masad Stealer, dan ukuran operasi mereka," kata para peneliti.

Tak hanya itu, para pengembang juga telah membuat grup Telegram untuk klien potensial mereka, dan untuk dukungan teknis. Sejauh ini memiliki lebih dari 300 anggota.

"Malware ini mencakup fungsi yang menggantikan dompet di clipboard, segera setelah cocok dengan konfigurasi tertentu. Jika data clipboard cocok dengan salah satu pola yang dikodekan ke Masad Stealer, malware mengganti data clipboard dengan salah satu dompet aktor ancaman, yang juga ditemukan dalam binernya,” tutur para peneliti.