Cyberthreat.id – Geng penjahat siber yang terkenal dengan malware CamuBot terdeteksi kembali beraksi. Namun, kali ini kampanye serangan mereka lebih ofensif dengan trik baru.

Gelombang serangan tersebut diteliti oleh para peneliti di IBM X-Force, divisi riset keamanan siber dari perusahaan teknologi International Business Machines Corporation (IBM), seperti dikutip dari ThreatPost, Kamis (5 Februari 2020).

Dalam pengamatan peneliti antara Agustus-September 2019 dan Oktober-November 2020, geng CamuBot cenderung beraksi di Brasil dengan target lembaga perbankan, sebagai ciri khas mereka. Serangan terbaru kali ini, mereka menargetkan lebih presonal dan ditujukan pada pengguna aplikasi mobile banking.

Namun, kata peneliti, serangan geng tersebut masih berlanjut hingga awal 2020. Mereka cenderung mempertahankan taktik, teknik, dan prosedur (TTP) yang tidak menarik perhatian penegak hukum setempat, kata peneliti IBM X-Force Chen Nahman dan Limor Kessem.

Peneliti mengatakan, serangan mereka masih mirip sewaktu kampanye pada Agustus 2018, pertama kalinya CamuBot terdeteksi. Salah satu trik aktor CamuBot adalah menyamar sebagai karyawan bank.

Selanjutnya, mereka membangun kepercayaan dengan korban melalui komunikasi telepon dan e-mail, sebelum akhirnya meminta korban membagikan informasi sensitif.

Di sinilah, CamuBot memainkan trik rekayasa sosial (social hacking) yang begitu panjang.

Setelah periode social hacking selesai, mereka memerintahkan para korban untuk menjelajah ke halaman web yang terinfeksi Trojan CamuBot. Para korban diinstruksikan untuk memasukkan kredensial login perbankan mereka ke halaman palsu dan mengunduh aplikasi keamanan [nyatanya yang diunduh adalah CamuBot].

Setelah para korban tanpa sadar mengunduh dan menjalankan CamuBot di perangkat mereka, penyerang mendapatkan kemampuan akses jarak jauh ke perangkat mereka.

---

Skema serangan CamuBot dari analisis IBM X-Force.

---

Taktik Baru

Pada awal kemunculannya, CamuBot menggunakan kredensial korban untuk masuk ke akun dan melakukan transaksi penipuan.

Namun, yang kini mereka, “Tidak selalu mengambil alih akun dan menghubungkan ke perangkat desktop korban yang terinfeksi, seperti yang mereka lakukan sebelumnya,” kata peneliti.

Sebaliknya, “kami mengamati bahwa akun bisnis korban diakses melalui aplikasi mobile bank.”

Setelah CamuBot menginfeksi perangkat, para korban diperintahkan oleh penyerang melalui telepon untuk mengautorisasi akses ke aplikasi perangkat seluler.

Skenario yang paling mungkin dari situ, “Penyerang berharap mempertahankan akses dan dapat memantau akun dari waktu ke waktu sampai mereka dapat merencanakan transfer penipuan besar-besaran,” kata peneliti.

Dalam beberapa kasus, penipu berhasil menggabungkan akun yang dikompromikan dengan nomor telepon yang mereka kontrol. Artinya, mereka berpotensi menerima kode OTP/2FA yang dikirim dari bank.

Dalam kasus lain, para penjahat menggunakan nomor telepon korban dan melakukan pertukaran kartu seluler (SIM swapping) untuk melakukan pembobolan akun rekening di kemudian hari.

Peneliti mengatakan bahwa taktik aktor CamuBot mirip dengan oleh kelompok kejahatan siber terorganisasi, seperti TrickBot, IceID, dan Ursnif. Mereka memadukan rekayasa sosial yang dibantu malware dan pengambilalihan perangkat.

Taktik tersebut berbeda dengan jenis malware popular lain di Brasil yang justru memakai Trojan jarak jauh untuk mengmbilalih perangkat dan melakukan penipuan.

“Tidak seperti kebanyakan malware yang kami temui di dunia perbankan Brasil, CamuBot berbeda dengan menggunakan basis kode yang unik,” kata para peneliti.

Justru, aktor CamuBoot berani untuk berinteraksi dengan calon korban dan peneliti memprediksi serangan CamuBot bisa menjadi tren ke depan.[]

Redaktur: Andi Nugroho