Credit image: Gemini
Matanbuchus 3.0 Ancaman Malware Baru Licik Sulit Dideteksi – Para peneliti keamanan siber baru-baru ini menemukan versi terbaru dari program jahat yang disebut Matanbuchus.
Ini bukan malware biasa, melainkan semacam “agen pengantar” yang sangat canggih dan punya banyak fitur baru agar makin sulit ditemukan dan dihindari.
Matanbuchus ini sebenarnya adalah layanan jahat yang bisa disewa (malware-as-a-service atau MaaS), fungsinya seperti pintu gerbang untuk malware yang lebih berbahaya lagi.
Seperti ransomware (yang mengunci file dan minta tebusan) atau Cobalt Strike beacons (alat yang digunakan peretas untuk mengontrol komputer korban).
Malware ini pertama kali muncul di forum kejahatan siber berbahasa Rusia pada Februari 2021 dengan harga sewa sekitar $2.500.
Biasanya, Matanbuchus tidak menyebar lewat email spam atau unduhan otomatis, melainkan seringkali disebarkan dengan cara menipu langsung korbannya melalui rekayasa sosial (social engineering).
Ini membuatnya lebih terarah dan terkoordinasi dibandingkan malware umum lainnya. Kadang, broker (perantara) bahkan menjual akses awal ke Matanbuchus ini kepada kelompok ransomware.
|
Baca juga: Tantangan & Risiko Ketika Data Pribadi Warga Indonesia Melintasi Samudra |
Yang Baru pada Matanbuchus 3.0
Versi terbaru ini, yang disebut Matanbuchus 3.0, memiliki beberapa kemampuan baru yang membuatnya jauh lebih berbahaya:
- Peningkatan Cara Komunikasi: Lebih pintar dalam berkomunikasi dengan server pengendali (C2) agar tidak mudah ketahuan.
- Beroperasi dalam Memori (in-memory capabilities): Artinya, malware ini berjalan langsung di memori komputer dan tidak meninggalkan banyak jejak di disk, sehingga sulit dideteksi oleh antivirus.
- Metode Penyamaran yang Canggih (enhanced obfuscation): Kode malware disamarkan sedemikian rupa agar sulit dianalisis dan dideteksi oleh sistem keamanan.
- Dukungan Reverse Shell CMD dan PowerShell: Ini memungkinkan penyerang mengambil alih komputer korban dari jarak jauh melalui perintah CMD atau PowerShell.
- Mampu Menjalankan Payload Tahap Selanjutnya: Bisa meluncurkan file DLL, EXE, atau shellcode (kode jahat singkat) yang lebih berbahaya.
- Harga Sewa Naik: Untuk versi 3.0, harga sewanya juga naik, yaitu $10.000 per bulan untuk versi HTTPS dan $15.000 per bulan untuk versi DNS.
Contoh Serangan Nyata
Baru-baru ini, terjadi insiden di mana Matanbuchus digunakan untuk menyerang sebuah perusahaan. Penyerang melakukan panggilan Microsoft Teams eksternal, mengaku sebagai staf IT help desk.
Mereka kemudian menipu karyawan agar mengizinkan akses jarak jauh melalui aplikasi Quick Assist, dan kemudian menjalankan script PowerShell yang menyebarkan Matanbuchus.
Taktik social engineering semacam ini mirip dengan yang digunakan oleh kelompok ransomware terkenal Black Basta. Korban dibujuk untuk menjalankan script yang mengunduh file ZIP.
Di dalamnya, ada update Notepad++ yang namanya diubah, file XML konfigurasi yang dimodifikasi, dan file DLL berbahaya yang merupakan loader Matanbuchus.
|
Baca juga: AsyncRAT: Trojan yang Pandai Beranak-Pinak |
Cara Matanbuchus 3.0 Beraksi Setelah Masuk
Setelah berhasil masuk ke komputer korban, Matanbuchus akan:
- Mengambil data tentang sistem komputer dan daftar program keamanan yang sedang berjalan.
- Menentukan apakah malware berjalan dengan hak akses administrator (hak penuh).
- Semua informasi yang dikumpulkan akan dikirim ke server C2 (Command-and-Control) milik penyerang. Dari sana, malware akan menerima payload tambahan, seperti installer MSI atau program (executable) lainnya.
- Untuk memastikan malware tetap ada di komputer korban, Matanbuchus membuat scheduled task (tugas terjadwal) yang akan berjalan secara otomatis. Meskipun terdengar sederhana, pengembang Matanbuchus menggunakan teknik canggih untuk menjadwalkan tugas ini, yaitu dengan memanipulasi komponen sistem Windows yang rumit.
- Server C2 dapat mengirimkan perintah dari jarak jauh kepada Matanbuchus untuk mengumpulkan informasi tambahan seperti semua proses yang berjalan, layanan yang aktif, dan daftar aplikasi yang terinstal.
Para peneliti menekankan bahwa Matanbuchus 3.0 ini telah berkembang menjadi ancaman yang sangat canggih.
Kemampuannya untuk menjalankan berbagai perintah sistem (seperti regsvr32, rundll32, msiexec) dan melakukan manipulasi proses (process hollowing) menunjukkan keserbagunaannya, menjadikannya risiko besar bagi sistem yang terkompromi.
Loader yang Sulit Dideteksi
Matanbuchus 3.0 ini masuk dalam tren yang lebih luas dari loader (malware pembuka jalan) yang mengutamakan kesenyapan. Mereka mengandalkan LOLBins (Living-Off-the-Land Binaries).
Yaitu program sah yang sudah ada di sistem Windows (seperti PowerShell atau command prompt) untuk menjalankan aksinya. Selain itu, mereka juga memanfaatkan pembajakan objek COM dan PowerShell stagers untuk tetap tidak terdeteksi.
Para peneliti ancaman semakin memetakan loader-loader seperti Matanbuchus ini sebagai bagian dari strategi manajemen permukaan serangan (attack surface management) dan menghubungkannya dengan penyalahgunaan alat kolaborasi perusahaan seperti Microsoft Teams dan Zoom.
|
Baca juga: Ancaman Phising Tanpa Tautan |
Cara Melindungi Diri
Melihat betapa canggihnya Matanbuchus 3.0 dan bagaimana ia disebarkan melalui penipuan langsung, penting bagi kita untuk:
- Sangat Waspada Terhadap Panggilan atau Pesan yang Mendesak: Terutama jika mengaku dari “IT Support” atau “Bank” dan meminta Anda untuk melakukan sesuatu yang tidak biasa, seperti mengizinkan akses jarak jauh atau menginstal sesuatu. Selalu verifikasi identitas mereka melalui saluran komunikasi resmi, bukan dari panggilan atau pesan yang Anda terima.
- Jangan Berikan Akses Jarak Jauh kepada Pihak Tidak Dikenal: Aplikasi seperti Quick Assist, TeamViewer, atau AnyDesk sangat berguna, tetapi juga berbahaya jika disalahgunakan. Jangan pernah memberikan kendali komputer Anda kepada orang yang tidak Anda kenal atau curigai.
- Berhati-hati dengan File yang Diunduh: Meskipun terlihat dari sumber terpercaya (seperti update Notepad++), selalu curigai file yang diunduh jika Anda tidak memintanya atau jika ada keraguan.
- Gunakan Solusi Keamanan yang Terkini: Pastikan antivirus dan firewall Anda selalu aktif dan terupdate.
- Edukasi Diri Sendiri: Pahami taktik rekayasa sosial yang umum digunakan penyerang. Semakin Anda tahu, semakin sulit Anda ditipu.
Dengan kewaspadaan dan tindakan pencegahan yang tepat, kita bisa mengurangi risiko menjadi korban dari malware canggih seperti Matanbuchus 3.0.
Semoga informasi mengenai Matanbuchus 3.0 Ancaman Malware Baru Licik Sulit Dideteksi dapat bermanfaat dan menambah wawasan seputar dunia siber.
Sumber berita:
