Cyberthreat.id – Juniper Networks, perusahaan infrastruktur internet Amerika, mengeluarkan laporan baru terkait dengan penemuan jenis spyware (perangkat lunak mata-mata) baru yang menggunakan aplikasi Telegram.

Juniper Threat Labs, portal intelijen ancaman di Juniper Networks, menemukan malware (perangkat lunak jahat) baru yang menggunakan Telegram untuk mengekstrak informasi yang dicuri, demikian dalam rilisnya 26 September lalu.

"Masad Clipper and Stealer" adalah nama spyware  tersebut yang beredar di forum pasar gelap. Malware mata-mata ini mampu mencuri daftar luas data penelusuran, termasuk nama pengguna, kata sandi, dan informasi kartu kredit.

Selain itu, malware ini juga bisa berfungsi mengambil alih dompet cryptocurrency dari clipboard  pemilik dan dikendalikan penyerang. Menurut laporan itu, spyware mendukung sejumlah mata uang kripto utama seperti Bitcoin, Ether, XRP, Bitcoin Cash, dan Litecoin.

Secara khusus, malware menggunakan Telegram sebagai saluran Command and Control (CnC) sehingga tidak terdeteksi sebagai perangkat jahat. Malware ini ditulis menggunakan skrip Autoit dan kemudian dikompilasi menjadi Windows sehingga dapat dieksekusi, demikian seperti diberitakan Cointelegraph.

Setelah diinstal, “Masad Stealer” memulai dengan mengumpulkan informasi sensitif dari sistem seperti alamat dompet crypto, data browser kartu kredit, komputer, d0an informasi sistem.

Menurut Jupiter Threat Labs, “Masad Stealer” mengirim semua informasi yang dikumpulkan ke mesin Telegram yang dikelola oleh penyerang yang juga mengirim perintah ke spyware.

“Masad Stealer” dinilai peneliti sebagai ancaman yang aktif dan berkelanjutan, bahkan saat peneliti mengeluarkan laporan ini bot CnC masih hidup.

Berikut adalah vektor yang dipakai untuk menyebarkan spyware tersebut dengan meniru alamat aslinya:

• ProxySwitcher (versi aslinya: https://www.proxyswitcher.com/)
• CCleaner.exe (versi aslinya: https://ccleaner.com/)
• Utilman.exe (versi aslinya dari Windows)
• Netsh.exe (versi aslinya Windows)
• Iobit v 1.7.exe (versi aslinya: https://www.iobit.com/)
• Base Creator v1.3.1 [FULL CRACK].exe (padahal tidak ada versi yang resmi)
• EXEA HACK CRACKED (PUBG,CS GO,FORTNITE,GTA 5,DOTA).exe (padahal tidak ada versi yang resmi)
• Icacls.exe (versi asli dari Windows)
• WSManHTTPConfig.exe (versi asli dari Windows)
• RADMIR CHEAT MONEYY.exe (padahal tidak ada versi remsinya)
• Tradebot_binance.exe (versi resminya ini: https://tradesanta.com/en)
• Whoami.exe (versi resmi dari Windows)
• Proxo Bootstrapper.exe (ini jelas malware dan cukup populer)
• Fortniteaimbot  2019.exe (tidak ada versi resminya)
• Galaxy Software Update.exe (versi resminya: https://www.samsung.com/us/support/answer/ANS00077582/)

Produsen tank diserang malware

Serangan malware juga baru-baru ini dialami oleh Rheinmetall AG, perusahaan asal Düsseldorf, Jerman. Akibatnya, terjadi gangguan signifikan pada pabrik-pabriknya di tiga negara.

Pada pengumuman Kamis (26 September 2019), salah satu produsen terbesar kendaraan tempur lapis baja, tank, amunisi, dan berbagai sistem elektronik itu mengatakan, serangan malware itu terjadi pada 24 September lalu.

Pabrik-pabrik yang terkena dampak serangan siber tersebut berada di Brasil, Meksiko, dan Amerika Serikat, demikian pernyataan Rheinmetall dalam siaran pers seperti dikutip dari ZDNet yang diakses Minggu (29 September).

Perusahaan tidak mengungkapkan rincian tentang insiden tersebut atau jenis malware apa yang dipakai untuk serangan siber itu.

Rheinmetall memperkirakan insiden malware berdampak jangka panjang dengan kerugian puluhan juta euro. "Gangguan jangka panjang untuk saat ini sulit diprediksi,” kata perusahaan.

Rheinmetall bukan satu-satunya perusahaan besar yang menderita infeksi malware besar dalam setahun terakhir. Insiden sebelumnya, sebagian besar termasuk insiden ransomware, terjadi di pabrik suku cadang pesawat Asco, penyedia aluminium Norsk Hydro, perusahaan keamanans siber Verint, dan Federasi Kepolisian Inggris.

Serangan yang sama juga dialami oleh produsen kendaraan utilitas Aebi Schmidt, Arizona Beverages, perusahaan teknik Altran, bandara internasional Cleveland, dan produsen bahan kimia Hexion and Momentive.

Awal pekan ini, stasiun TV Prancis France24 mengungkapkan bahwa peretas yang disponsori negara China diduga menyerang Airbus, produsen pesawat terbang asal Prancis. Peretas yang sama dikatakan juga menargetkan produsen mobil asal Inggris: Rolls-Royce dan konsultan teknologi Prancis: Expleo.

Namun, Otoritas China membantah laporan tersebu. AFP dalam laporannya menyebut peretas diduga mencari data rahasia yang bersifat komersial yang terdapat pada para supplier Airbus tersebut.

"Dalam beberapa tahun terakhir, ada banyak laporan tentang serangan dunia maya di media. Dalam laporan-laporan ini, tanpa bukti, pihak-pihak yang berkepentingan selalu menempelkan label serangan dunia maya kepada China dan ini menyudutkan China," kata Juru Bicara Kementerian Luar Negeri China, Geng Shuang.

"Praktik ini tidak profesional dan bertanggung jawab, bahkan memiliki motif tersembunyi. China adalah pembela keamanan jaringan yang kuat,” Shuang menambahkan.