Credit image: Pixabay
Serangan Water Saci Trojan Baru di WhatsApp – Para peneliti keamanan siber telah mengungkap adanya operasi malware besar yang secara khusus menargetkan pengguna dan lembaga keuangan.
Malware baru yang disebut Maverick menunjukkan kemiripan mencolok dengan malware perbankan sebelumnya, Coyote, dan disebarkan melalui cara yang sangat efektif: eksploitasi sesi WhatsApp Web.
Kelompok ancaman di balik serangan ini dikenal sebagai Water Saci. Taktik mereka menunjukkan evolusi signifikan dalam serangan trojan perbankan.
Yang beralih dari payload tradisional ke penyalahgunaan profil browser resmi dan platform pesan instan untuk melancarkan serangan yang terukur dan tersembunyi.
Modus Operandi Maverick dan WhatsApp
Serangan Maverick melibatkan dua komponen kunci: malware yang menyebar sendiri bernama SORVEPOTEL dan payload utama Maverick.
|
Baca juga: DNS Messenger RAT dengan PowerShell |
Penyebaran Melalui WhatsApp Web
- Serangan dimulai ketika malware SORVEPOTEL (yang sering disamarkan dalam bentuk file ZIP dengan nama menarik) menyebar melalui versi desktop WhatsApp.
- Malware ini menggunakan alat otomatisasi browser seperti ChromeDriver dan Selenium untuk membajak sesi WhatsApp Web korban.
- Dengan menyalin data profil Chrome yang sah (termasuk cookies dan authentication tokens), malware ini mampu melewati otentikasi WhatsApp Web sepenuhnya, mendapatkan akses ke akun korban tanpa memicu peringatan keamanan atau memerlukan pemindaian kode QR.
- Begitu sesi WhatsApp dikendalikan, script yang jahat akan mengambil template pesan penipuan dan mengirimkan file ZIP berbahaya ke SEMUA kontak yang terkait dengan akun korban.
Fungsi Utama Malware Maverick
Maverick, yang ditulis dalam bahasa .NET dan memiliki fungsi mirip Coyote, dirancang untuk tujuan finansial:
- Mengintai URL Bank: Malware memonitor tab jendela browser aktif dan mencari URL yang cocok dengan daftar bank yang sudah di-hardcode di Amerika Latin (terutama Brasil).
- Pencurian Kredensial: Jika ada kecocokan, malware akan menghubungi server jarak jauh untuk mengambil perintah dan menayangkan halaman phishing di atas halaman bank asli untuk mencuri username dan password korban.
|
Baca juga: Aplikasi Peniru YouTube Penyebar RAT |
Struktur Serangan Canggih Water Saci
Kampanye Water Saci menunjukkan tingkat kecanggihan yang tinggi dalam upayanya menghindari deteksi dan memastikan operasi yang berkelanjutan (resilience).
1. Rantai Infeksi Multi-Tahap
- File ZIP awal berisi shortcut Windows (LNK) yang, ketika dijalankan, menggunakan cmd.exe atau PowerShell untuk mengunduh payload tahap pertama dari server eksternal.
- Script PowerShell ini dapat meluncurkan alat perantara untuk menonaktifkan Microsoft Defender Antivirus dan UAC (User Account Control).
- Loader utama memiliki teknik anti-analisis untuk mendeteksi keberadaan alat reverse engineering dan menghentikan dirinya sendiri jika terdeteksi.
- Malware Maverick hanya akan menginstal dirinya sendiri setelah memastikan korban berada di Brasil dengan memeriksa zona waktu, bahasa, wilayah, dan format tanggal perangkat yang terinfeksi.
2. Infrastruktur C2 Berbasis Email (IMAP)
Water Saci menggunakan metode komunikasi command-and-control (C2) yang tidak biasa untuk menjaga ketahanan:
- Malware menggunakan koneksi IMAP untuk akun email tertentu (misalnya terra.com.br) menggunakan kredensial yang sudah terprogram.
- Penyerang mengirimkan perintah ke malware melalui email, bukan komunikasi HTTP tradisional. Akun email ini bahkan diamankan dengan MFA (Multi-Factor Authentication), yang menunjukkan penyerang harus memasukkan kode otentikasi sekali pakai secara manual untuk mengakses inbox dan mengirim perintah C2.
|
Baca juga: Game Populer Disusupi Trojan Android |
3. Botnet dan Kontrol Real-Time
Water Saci tidak hanya mencuri data, tetapi juga mengubah mesin yang terinfeksi menjadi alat botnet. Mereka memiliki mekanisme kontrol jarak jauh yang memungkinkan penyerang untuk menjeda, melanjutkan, dan memantau penyebaran WhatsApp secara real-time.
Daftar perintah yang didukung malware sangat luas, termasuk, INFO (mengumpulkan info sistem), CMD (menjalankan perintah), SCREENSHOT, KILL (menghentikan proses), DOWNLOAD/UPLOAD_FILE, hingga REBOOT dan SHUTDOWN sistem.
Evolusi Agresif
Kemiripan antara Maverick dan Coyote menunjukkan adanya ekosistem siberkriminal Brasil yang sama. Kelompok Water Saci sangat agresif dalam “kuantitas dan kualitas” serangan.
Dengan 3 miliar pengguna aktif di seluruh dunia menjadikan pasar WhatsApp merupakan target yang sangat menggiurkan.
Serangan ini menandai pergeseran signifikan, penjahat siber kini fokus mengeksploitasi profil browser yang sah dan platform pesan untuk melancarkan serangan yang tersembunyi dan terukur.
Sumber berita:
