Cyberthreat.id – Perusahaan keamanan siber FortiGuard Labs, bagian dari Fortinet, mendeteksi adanya kampanye serangan email phishing yang menyebarkan Metamorfo.

“Metamorfo adalah keluarga malware yang menargetkan pelanggan lembaga keuangan online...kali ini mereka menargetkan pelanggan dari lebih banyak lembaga keuangan di berbagai negara,” kata peneliti FortiGuard Labs, Xiaopeng Zhango, seperti dikutip dari ThreatPost, Kamis (6 Februari 2020).

Setidaknya, menurut peneliti, kampanye mereka terlacak di 20 lembaga keuangan online di negara-negara, seperti Amerika Serikat, Kanada, Peru, Chilli, Spanyol, Brasil, Ekuador, dan Meksiko.

Metamorfo yang pertama kali ditemukan pada April 2018 adalah perangkat lunak jahat (malware) trojan yang menyasar lembaga-lembaga keuangan. Trojan ini terkenal sebelumnya menargetkan perusahaan-perusahaan di Brasil, tapi kini memperluas serangan dan menambahkan teknik baru.

Varian terbaru dari Metamorfo kali ini lebih menargetkan data kartu kredit dan informasi kredensial di lembaga keuangan yang berbasis sistem operasi Windows.

Serangan disebarkan pertama kali melalui email phishing (email jebakan) yang mendistribusikan arsip ZIP dan berisi file MSI (dengan nama “view (AVISO) 2020.msi”).

Peneliti mengatakan, skrip AutoIt—bahasa pemrograman freeware yang sah untuk Windows yang telah disalahgunakan oleh berbagai keluarga malware di masa lalu—dipakai oleh penyerang sebagai teknik untuk membantu Metamorfo menerabas deteksi antivirus.

Peneliti menyebut, pengemasan Metamorfo terbilang cukup rumit dan “menciptakan tantangan besar bagi analis”.

Trik terbaru mereka yaitu setelah lampiran email diklik, malware akan membunuh kolom entri data yang disarankan otomatis di peramban (browser) baik di Internet Explorer, Firefox, Chrome, Microsoft Edge, dan Opera.

Dengan kata lain, pengguna dicegah untuk menggunakan fungsi auto-complete untuk memasukkan nama pengguna, kata sandi, dan informasi lainnya.

Dengan mematikan kolom log-in tersebut, korban dipaksa untuk menulis kata sandi dan selanjutnya penyerang melacak ketikan kata sandi itu melalui keylogger—perangkat lunak untuk merekam ketikan.

“Apa tujuan membunuh browser dan menonaktifkan fungsi auto-complete dan auto-suggest? Tindakan ini memaksa korban untuk memasukkan data secara otomatis tanpa melengkapi, seperti seluruh URL, bersama dengan nama log-in, kata sandi dan sebagainya di peramban,” kata Zhang.

Malware tersebut juga dapat menampilkan pesan palsu kepada korban yang meminta mereka untuk memasukkan kode konfirmasi keamanan yang sah yang telah mereka terima. Ini berguna untuk menerabas otentikasi dua faktor (2FA).
"Terkadang situs web keuangan menggunakan 2FA untuk melindungi pelanggan mereka seperti mengirim kode keamanan melalui SMS/email ke pelanggan, lalu memverifikasi input pelanggan di situs web," katanya.

“Karena penyerang tidak bisa mendapatkan kode, verifikasi akan gagal. Jadi, strain malware ini meminta kode dari korban dengan mengirimkan pesan palsu."

Di luar teknik-teknik tersebut, kemampuan malware varian baru dari Metamorfo ini masih seperti yang lain, antara lain:

• mengumpulkan informasi seperti versi sistem operasi
• nama komputer
• perangkat lunak antivirus yang diinstal,
• membuat tugas untuk memantau alamat dompet Bitcoin pada pada sistem clipboard , dan
• untuk mendeteksi apakah korban mengakses situs web lembaga keuangan atau tidak.

Sarannya, pengguna harus memastikan bahwa sistem operasi dan perangkat lunaknya ditambal dan diperbarui. Inilah salah satu trik yang dapat membantu menghentikan keberhasilan dari serangan malware Metamorfo. []