Cyberthreat.id – Kampanye dua varian malware baru menyasar titik kelemahan sistem Windows. Serangan ini baru-baru ini ditemukan oleh peneliti Fortinet, perusahaan keamanan siber (cybersecurity) asal Amerika Serikat.

Dalam temuannya, peneliti mencermati bahwa malware itu dibawa oleh dropper dan menjatuhkan Remote Access Trojan (RAT) ke dalam sistem. Dropper adalah perangkat lunak yang secara diam-diam bertugas memasang malware lain di komputer juga bertugas mengelabui muatan di dalamnya dari antivirus.

Sampel yang ditemukan oleh peneliti dari dua malware yang berbeda fungsi itu, yaitu RevengeRAT dan WSHRAT.

Dua RAT itu memiliki tujuan mencuri informasi sensitif dari browser populer: Chrome dan FireFox.

Pertama, RevengeRAT, menurut Fortinet, telah menginfeksi para korban dengan memanfaatkan berbagai tahapan. RAT ini adalah Trojan yang sebelumnya terhubung dengan kampanye yang menargetkan perusahaan keuangan, pemerintah, dan perusahaan TI.

Menurut Fortinet, setelah RAT berhasil digunakan, malwar itu terhubung ke dua server command-and-control  (CnC) dan mulai mengumpulkan informasi dari sistem korban yang akan dikirim ke server penyerang.

Informasi yang dikirimkan, seperti diberitakan ZDNet, antara lain alamat IP, data volume, nama mesin, nama pengguna, webcam terdeteksi atau tidak, data CPU, bahasa. Selain itu informasi yang berkaitan dengan produk antivirus dan instalasi firewall pun dicuri.

Trojan juga dapat menerima perintah dari CnC untuk memuat kode ASM berbahaya dalam memori untuk eksploitasi tambahan. ASM adalah bahasa pemrograman tingkat rendah yang digunakan dalam pemrorgraman komputer.

Namun, penyebaran satu Trojan bukanlah akhir dari rantai serangan. Dropper juga mengeksekusi WSHRAT sebagai payload  [struktur kode khusus yang bertujuan mengirim kode data yang berisi bug].

Menurut peneliti, WSHRAT menggunakan kode yang sama dari MICROSOFT.VBS dalam skrip GXxdZDvzyH.vbs, tapi dengan sejumlah penyesuaian.

WSHRAT sering didistribusikan secara aktif dalam pesan phishing yang menyamar sebagai bank terkenal. Trojan ini dijual secara publik secara online dengan basis berlangganan kepada para pelaku ancaman.

Peneliti menggali lebih dalam dan menganalisis kode dan memastikan bahwa WSHRAT memiliki 29 fungsi untuk melakukan tugas yang berbeda, termasuk mempertahankan kegigihan, pencurian data, dan pemrosesan informasi.

WSHRAT juga menggunakan perintah, seperti berikut:

“disconnect”, “reboot”, “shutdown”, “execute”, “install-sdk”, “get-pass”, “get-pass-offline”, “update”, “uninstall”, “up-n-exec”, “bring-log”, “down-n-exec”, “filemanager”, “rdp”, “keylogger”, “offline-keylogger”, “browse-logs”, “cmd-shell”, “get-processes”, “disable-uac”, “check-eligible”, “force-eligible”, “elevate”, “if-elevate”, “kill-process”, and “sleep”.

Fokus utama WSHRAT adalah mencuri data peramban populer seperti Chrome dan Mozilla Firefox, termasuk peranti lunak FoxMail.

Selengkapnya hasil penelitian Fortinet di sini.