Lonjakan Malware Melalui FakeBat: Ancaman Baru di Dunia Siber


Ilustrasi cyber security 4

Ilustrasi cyber security

Peneliti keamanan siber baru-baru ini mengidentifikasi lonjakan signifikan dalam infeksi malware yang disebabkan oleh kampanye malvertising yang menyebarkan sebuah loader bernama FakeBat. Penemuan ini menunjukkan bagaimana penjahat siber semakin canggih dalam memanfaatkan pencarian software populer untuk menyebarkan ancaman berbahaya.

Menurut laporan teknis yang dirilis oleh tim Mandiant Managed Defense, serangan-serangan ini bersifat sangat oportunistik, menargetkan individu yang sedang mencari software bisnis yang populer. “Para penyerang memanfaatkan installer MSI. Installer ini menjalankan skrip PowerShell yang kemudian mengunduh payload tambahan,” ungkap tim tersebut.

FakeBat, yang juga dikenal dengan nama EugenLoader atau PaykLoader, terkait dengan pelaku ancaman yang menggunakan nama Eugenfest. Tim intelijen ancaman yang dimiliki oleh Google, yang melacak malware ini dengan sebutan NUMOZYLOD, telah mengaitkan operasi Malware-as-a-Service (MaaS) ini dengan kelompok ancaman bernama UNC4536.

Serangan ini memanfaatkan teknik drive-by download, di mana pengguna yang mencari software populer diarahkan ke situs web palsu yang meniru situs resmi dan menghosting installer MSI yang telah dimodifikasi. Teknik ini dirancang untuk memanipulasi pengguna agar mengunduh perangkat lunak berbahaya tanpa menyadarinya. Beberapa keluarga malware yang dikirim melalui FakeBat meliputi IcedID, RedLine Stealer, Lumma Stealer, SectopRAT (juga dikenal sebagai ArechClient2) dan Carbanak, sebuah malware yang terkait dengan kelompok kejahatan siber FIN7.

“Modus operandi UNC4536 melibatkan pemanfaatan malvertising untuk menyebarkan installer MSIX yang telah ditrojanisasi, yang menyamar sebagai perangkat lunak populer seperti Brave, KeePass, Notion, Steam, dan Zoom,” jelas Mandiant. “Installer MSIX yang telah diduplikasi ini dihosting di situs web yang dirancang untuk menyerupai situs web hosting perangkat lunak yang sah, dengan tujuan untuk menarik pengguna agar mengunduhnya.”

Keunikan dari serangan ini terletak pada penggunaan installer MSIX yang menyamar sebagai aplikasi-aplikasi populer. Installer ini memiliki kemampuan untuk menjalankan skrip sebelum meluncurkan aplikasi utama, menggunakan konfigurasi yang dikenal sebagai startScript. Metode ini memungkinkan penyerang untuk mempersiapkan sistem untuk payload berbahaya yang akan diunduh kemudian.

Sebagai distributor malware, UNC4536 menggunakan FakeBat sebagai alat pengiriman untuk payload tahap berikutnya yang ditujukan bagi mitra bisnis mereka, termasuk kelompok kejahatan siber FIN7. FakeBat bertindak sebagai jembatan yang menghubungkan penyerang dengan ancaman yang lebih besar, memperluas dampak dari serangan yang mereka luncurkan.

“NUMOZYLOD mengumpulkan berbagai informasi sistem dari korban, termasuk rincian tentang sistem operasi, status domain yang terhubung, serta produk antivirus yang terinstal,” kata Mandiant. “Pada beberapa varian, malware ini juga mengumpulkan alamat IPv4 dan IPv6 publik dari host dan mengirimkan informasi ini ke Command and Control (C2) mereka, serta membuat shortcut (.lnk) di folder StartUp untuk memastikan ketahanan malware tersebut.”

Pengungkapan mengenai teknik ini muncul tidak lama setelah Mandiant juga merinci siklus hidup serangan terkait dengan downloader malware lain yang dikenal sebagai EMPTYSPACE (juga disebut BrokerLoader atau Vetta Loader). Malware ini digunakan oleh kelompok ancaman finansial yang dikenal sebagai UNC4990 untuk memfasilitasi kegiatan eksfiltrasi data dan cryptojacking, yang menargetkan entitas-entitas di Italia.

Dengan semakin canggihnya teknik - teknik yang digunakan oleh penjahat siber, sangat penting bagi individu dan organisasi untuk tetap waspada terhadap ancaman ini. Meningkatkan kesadaran akan potensi bahaya dari unduhan perangkat lunak yang tidak sah dan memperkuat sistem keamanan siber dapat membantu melindungi data dan informasi penting dari serangan semacam ini.


Bagikan artikel ini

Video Terkait