Cyberthreat.id – Malware trojan custom (yang bisa disesuaikan keinginan penjahat) berjuluk Remcos muncul kembali dan didistribusikan melalui email phishing.

Trojan akses jarak jauh itu pertama kali muncul di forum bawah tanah pada 2016 dan telah menerima sejumlah pembaruan selama beberapa tahun terakhir, demikian dilaporkan ZDNet, Selasa (22 Oktober 2019).

Malware seharga US$ 58 tersebut dirancang sebagai alat pencuri informasi dan pengawasan (spionase), keylogging –merekam aktivitas log (catatan segala aktivitas suatu aplikasi), mengambil screenshot dan mencuri konten clipboard untuk secara diam-diam mengambil nama pengguna dan kata sandi dari korban yang terinfeksi.

Peneliti Fortinet—perusahaan cybersecurity asal Sunnyvale, California, AS—mengatakan, telah menemukan kampanye Remcos baru dengan varian baru bertajuk "2.5.0 Pro". Nama ini menurut string kode keras dalam kode berbahaya yang disusun pada September lalu.

Serangan-serangan mereka, kata peneliti, mulai dengan upaya untuk menipu korban agar membuka file ZIP berbahaya dengan alasan pembayaran dilakukan ke rekening bank. Para pengguna email phishing tertipu untuk menggunakannya seolah-olah itu berasal dari domain yang valid.

File .ZIP adalah pintu gerbang ke ekstensi .TXT yang menjalankan skrip PowerShell ketika diaktifkan dan menjalankan instalasi malware ke mesin Windows korban.

File .EXE yang telah dibuka akan “tidur” selama 20 detik sebagai upaya untuk menghindari pendeteksian. Selanjutnya, file tersebut menginstal sendiri ke folder Windows baru.

Menurut peneliti, ketika malware berjalan, mereka merekam semua informasi yang dimasukkan di browser web, memberikan informasi tentang situs web apa yang dikunjungi pengguna dan apa yang mereka masukkan ke dalam situs. Ini memungkinkan penyerang untuk melihat dan mencuri nama pengguna dan kata sandi.

Hal itu memang tidak segera membahayakan korban dengan memungkinkan penyerang mengakses ke akun. Namun,  informasi itu dapat dieksploitasi dalam serangan lebih lanjut atau bahkan dijual di forum web gelap.