Cyberthreat.id - Cybersecurity and Infrastructure Security Agency (CISA) menerbitkan peringatan tentang email Phishing yang mengirimkan malware KONNI. Malware KONNI diperkirakan sudah aktif sejak 2014 dan tidak terlacak selama lebih dari tiga tahun.

Menurut para peneliti, malware ini diketahui hanya digunakan dalam serangan yang menargetkan PBB, UNICEF, dan entitas yang terkait dengan Korea Utara. Para peneliti juga menghubungkan malware ini dengan DarkHotel.

DarkHotel adalah kelompok hacker jahat yang telah menargetkan ribuan korban di seluruh dunia. Menurut Kaspersky, 90 persen peretasan yang dilakukan DarkHotel menargetkan Jepang, Taiwan, Rusia, Korea, Jerman, Indonesia, Amerika Serikat dan Irlandia.

Selama menginfeksi komputer korban, operator yang berada dibalik KONNI dapat mencuri  sejumlah besar informasi, catatan penekanan tombol, mengambil tangkapan layar, mencuri konten dan data papan klip dari browser seperti Chrome, Firefox, dan Opera, dan mengeksekusi kode arbitrer.

CISA memperingatkan email Phishing ini mengirimkan dokumen Microsoft Word berisi kode makro Visual Basic Application (VBA) berbahaya. Didalamnya memuat Trojan akses jarak jauh (RAT) untuk menginstal malware KONNI.

Kode makro ini dirancang untuk mengubah warna font guna mengelabui korban agar mengaktifkan konten, memeriksa apakah arsitektur sistem 32-bit atau 64-bit, dan membangun serta menjalankan baris perintah untuk mengunduh file tambahan.

Sedangkan basis data sertifikat CertUtil digunakan untuk mengunduh file jarak jauh. File teks ini kemudian diunduh, diterjemahkan oleh CertUtil, dan disimpan sebagai file batch (.BAT), yang dijalankan setelah file teks dihapus.

Selain itu, CISA juga menjelaskan informasi yang dikumpulkan KONNI dari komputer yang terinfeksi berupa, alamat IP, nama pengguna, daftar proses yang berjalan, detail tentang sistem operasi, drive yang terhubung, nama host, dan nama komputer.

CISA kemudian menerbitkan daftar teknik MITRE ATT & CK yang terkait dengan KONNI, beserta tanda tangan Snort yang dapat digunakan untuk mendeteksi eksploitasi Malware ini.

Berikut saran CISA agar terlindungi dari malware KONNI;

1. Pengguna dan administrator harus memastikan sistem mereka mutakhir.

2. Memiliki solusi anti-virus yang terus diperbarui dan berjalan aktif di perangkat.

3. Menghindari membuka lampiran email dari sumber yang tidak dikenal.

4. Menerapkan kebijakan ketat yang terkait dengan izin pengguna, password, layanan yang diizinkan, unduhan perangkat lunak, dan pemantauan perilaku pengguna. []

Redaktur: Arif Rahman