Awas! Ada Malware Menyamar Jadi Logo Windows Jadul
Taktik yang dipakai dedemit maya untuk menyamarkan malware semakin canggih, yang terbaru adalah menyamarkan malware dalam bentuk logo Microsoft Windows jadul.
Malware tersebut disebarkan oleh grup Witchetty dengan menggunakan teknik enkripsi steganografi, yaitu sebuah cara untuk menyembunyikan pesan dalam pesan atau sebuah objek fisik.
Sementara malware yang disebarkan itu berupa backdoor yang dinamai Backdoor.Stegmap oleh Threat Hunter Team milik Symantec. Deretan kode malware tersebut menyamar sebagai logo OS Windows jadul.
Gambar logo itu disimpan di GitHub, yang lazim dipakai oleh para developer untuk menyimpan kode software buatannya. Tujuannya mungkin untuk menghindari kecurigaan ketimbang memakai server command and control seperti malware pada umumnya.
Cara kerja malware ini adalah saat saat gambar tersebut sudah 'sampai' di komputer korban, gambar itu akan didekripsi menggunakan kunci XOR. Saat berhasil dieksekusi, Backdoor.Stegmap bisa membuka backdoor di sistem korban yang bisa menulis file dan direktori, mematikan atau memulai proses tertentu, memodifikasi registry Windows, mengunduh malware baru, dan lain sebagainya.
Menurut peneliti Symantec, aksi serangan Backdoor.Stegmap ini sudah aktif sejak Februari 2022, dengan target utama adalah dua pemerintahan negara di Timur Tengah dan bursa efek di sebuah negara Afrika.
Celah yang dieksploitasi ini adalah celah lama yang sudah banyak diketahui, yaitu CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855, dan CVE-2021-27065. Lewat celah ini mereka bisa menyusupkan web shell ke server-server publik untuk mencuri kredensial, lalu berpindah dari satu jaringan ke jaringan lain untuk menyebarkan malware.
Witchetty pertama terlihat sepak terjangnya pada April 2022, saat itu ESET mengidentifikasi serangan mereka di dalam sub grup TA410, operasi spionase siber yang dikaitkan dengan pemerintah China, tepatnya lewat grup Cicada/APT10.
Witchetty dikenal punya 'persenjataan' malware yang komplit, dan target serangannya adalah pemerintahan, misi diplomatik, organisasi amal dan juga industri.
Menurut Symantec Witchetty menunjukkan kemampuannya yang terus-menerus diperbarui dan semakin canggih agar malwarenya tetap bisa bertahan di sistem si korban, demikian dikutip detikINET dari Techspot, Selasa (4/10/2022).
