Cyberthreat.id – Perusahaan keamanan siber Security Joes mengungkapkan bahwa sektor keuangan dan asuransi di Eropa telah menjadi sasaran malware Raspberry Robin.

Raspberry Robin, juga disebut worm QNAP, digunakan oleh beberapa pelaku ancaman sebagai sarana untuk mendapatkan pijakan ke dalam jaringan target. Menyebar melalui drive USB yang terinfeksi dan metode lainnya, kerangka tersebut baru-baru ini digunakan dalam serangan yang ditujukan pada sektor telekomunikasi dan pemerintah.

Dikutip dari The Hacker News, peneliti mengamati, intrusi terhadap organisasi berbahasa Spanyol dan Portugis, terkenal karena mengumpulkan lebih banyak data mesin korban daripada yang didokumentasikan sebelumnya. Selain itu, saat ini malware menunjukkan teknik canggih untuk menolak analisis.

“Yang unik dari malware ini adalah ia sangat dikaburkan dan sangat kompleks untuk dibongkar secara statis,” kata Security Joes dalam laporan terbarunya.

Investigasi forensik Security Joes terhadap salah satu serangan tersebut telah mengungkapkan penggunaan file 7-Zip, yang diunduh dari browser korban melalui rekayasa sosial dan berisi file penginstal MSI yang dirancang untuk menghapus beberapa modul. Dalam contoh lain, file ZIP dikatakan telah diunduh oleh korban melalui iklan penipuan yang dihosting di domain yang diketahui mendistribusikan adware.

“File arsip, disimpan di server Discord, berisi kode JavaScript yang disandikan yang, setelah dieksekusi, menjatuhkan pengunduh yang dilindungi dengan banyak lapisan penyamaran dan enkripsi untuk menghindari deteksi,” kata Security Joes.

Pengunduh kode shell terutama direkayasa untuk mengambil executable tambahan, tetapi ia juga telah melihat peningkatan signifikan yang memungkinkannya membuat profil korbannya untuk mengirimkan muatan yang sesuai, dalam beberapa kasus bahkan beralih ke bentuk tipu daya dengan menyajikan malware palsu.

Ini melibatkan pengumpulan Pengidentifikasi Unik Universal (UUID) host, nama prosesor, perangkat tampilan yang terpasang, dan jumlah menit yang telah berlalu sejak startup sistem, bersama dengan informasi nama host dan nama pengguna yang dikumpulkan oleh malware versi lama.

Data pengintaian kemudian dienkripsi menggunakan kunci berkode keras dan dikirim ke server perintah-dan-kontrol (C2), yang merespons kembali dengan biner Windows yang kemudian dijalankan di mesin.

“Kami tidak hanya menemukan versi malware yang beberapa kali lebih kompleks, tetapi kami juga menemukan bahwa suar C2, yang dulunya memiliki URL dengan nama pengguna dan nama host teks biasa, sekarang memiliki muatan terenkripsi RC4 yang kuat,” tambah perusahaan.