Cyberthreat.id - Penjahat siber menggunakan video seks palsu mengatasnamakan Presiden Amerika Serikat Donald Trump sebagai pancingan untuk menyebarkan malware.

Dikutip dari Info Security Magazine , hal itu diungkap oleh peneliti keamanan siber di Trustwave.

Menurut para peneliti, operator dibalik penyebaran malware itu mengirimkan email dengan lampira berjudul "TRUMP_SEX_SCANDAL_VIDEO.jar". Jika target mengklik file Java Archive (JAR) yang berbahaya itu, sistem akan otomatis menginstal Qnode Remote Access Trojan (RAT) ke perangkat mereka tanpa disadari oleh si pemilik perangkat.

Tidak seperti serangan email spam biasanya, judul file berbahaya ini tidak memiliki kemiripan dengan subjek email yang dilampirkan. Namun email ini melaporkan arsip yang berisi file JAR berbahaya.

"Kami menduga bahwa orang-orang jahat mencoba untuk mengatasi hiruk-pikuk yang disebabkan oleh pemilihan Presiden yang baru saja selesai karena nama file yang mereka gunakan pada lampiran sama sekali tidak terkait dengan tema email," ungkap peneliti Trustwave.

Dalam investigasi yang dilakukan terhadap serangan email spam tersebut, terungkap bahwa file JAR tersebut mengandung varian dari pengunduh QRAT yang sempat dipublikasikan pada Agustus lalu. Kesamaan antara varian baru dan lama itu terletak pada Allatori Obfuscator yang digunakan untuk mengaburkan file JAR dan penginstal Node.Js diambil dari situs web resmi nodejs.org. Seperti halnya dengan varian lama, peneliti menemukan bahwa pengunduh baru hanya mendukung platform Windows.

 

Para peneliti mengatakan, kampanye email skandal seks Trump yang digunakan untuk mengirimkan malware dinilai seperti pekerjaan amatiran meskipun QRAT yang digunakan jauh lebih canggih dibandingkan dengan varian sebelumnya.

"Ancaman ini telah meningkat secara signifikan selama beberapa bulan terakhir sejak kami pertama kali memeriksanya. Untuk mencapai tujuan akhir yang sama, yaitu menginfeksi sistem dengan RAT QNode, karakteristik dan perilaku pengunduh file JAR ditingkatkan," tambah peneliti.

Untuk mendukung serangan ini, para penyerang dibalik kampanye ini membuat string qnodejs yang dapat membedakan file yang terkait dengan ancaman ini. Hal ini juga dilakukan untuk menghindari deteksi. Mereka membagi kode berbahaya pengunduh menjadi buffer yang berbeda di dalam JAR.

Jika menemukan serangan ini di sistem perusahaan, peneliti menyarankan administrator email untuk melakukan tindakan tegas terhadap JAR yang masuk dan menggunakan gateway keamanan email mereka untuk memblokirnya.[]

Editor: Yuswardi A. Suud