Dunia maya kembali kisruh, muncul pengunduh malware yang membawa segudang masalah bagi pengguna internet. Pengunduh malware tak tercatat ini menyebar melalui serangan phising untuk mengumbar malware pencuri kredensial dan muatan berbahaya lainnya.
Pengunduh malware ini dijuluki sebagai Saint Bot, malware tersebut dikatakan pertama kali muncul pada Januari 2021, dengan indikasi bahwa ia sedang dalam pengembangan aktif.
Saint Bot adalah pengunduh yang muncul baru-baru ini, dan perlahan-lahan mendapatkan momentum. Ia terlihat sedang menurunkan muatannya yaitu Taurus Stealer atau muatan lainnya, namun desainnya juga memungkinkannya digunakan untuk mendistribusikan segala jenis malware.
Spesifikasi pengunduh malware
Saint Bot menggunakan berbagai macam teknik yang meskipun tidak bisa sebagai hal yang baru, tapi ini tetap menunjukkan tingkat kecanggihannya mengingat penampilannya sebagai malware yang relatif baru.
Rantai infeksi yang dianalisis oleh perusahaan keamanan siber dimulai dengan email phising yang berisi file ZIP tertanam yakni bitcoin.zip yang mengklaim sebagai dompet bitcoin, padahal sebenarnya itu adalah skrip PowerShell dengan kedok file pintasan .LNK.
Skrip PowerShell ini kemudian mengunduh malware tahap berikutnya, WindowsUpdate.exe yang dapat dieksekusi, yang pada gilirannya melakukan eksekusi lainnya yaitu InstallUtil.exe yang menangani dua lagi pengunduhan yang dapat dieksekusi bernama def.exe dan putty.exe.
Sementara yang pertama adalah skrip batch yang bertanggung jawab untuk menonaktifkan Windows Defender, putty.exe berisi muatan berbahaya yang akhirnya terhubung ke server Command and Control (C2) untuk eksploitasi lebih lanjut.
Ketidakjelasan yang ada di setiap tahap infeksi, ditambah dengan teknik anti-analisis yang diadopsi oleh malware, memungkinkan operator malware untuk mengeksploitasi perangkat tempat mereka diinstal tanpa menarik perhatian.
Selain melakukan pemeriksaan pertahanan diri untuk memverifikasi keberadaan debugger atau lingkungan virtual, Saint Bot dirancang untuk tidak mengeksekusi di Rumania dan negara-negara tertentu dalam Commonwealth of Independent States (CIS), yang mencakup Armenia, Belarusia, Kazakhstan, Moldova, Rusia, dan Ukraina.
Daftar perintah yang didukung oleh malware termasuk –
-
- Mengunduh dan menjalankan muatan lain yang diambil dari server C2
-
- Memperbarui bot malware, dan
-
- Mencopot pemasangannya sendiri dari mesin yang disusupi
Meskipun kemampuan ini mungkin tampak sangat kecil, fakta bahwa Saint Bot berfungsi sebagai pengunduh malware lain membuatnya cukup berbahaya.
Menariknya, payload itu sendiri diambil dari file yang dihosting di Discord, sebuah taktik yang semakin umum di antara pelaku ancaman, yang menyalahgunakan fungsi sah dari platform tersebut untuk komunikasi C2, menghindari keamanan dan mengirimkan malware.
Jadi ketika file diunggah dan disimpan dalam Discord CDN, mereka dapat diakses menggunakan URL CDN yang di-hardcode oleh sistem apa pun, terlepas dari apakah Discord telah diinstal, cukup dengan menjelajah ke URL CDN tempat konten di-host.
Sehingga mengubah perangkat lunak seperti Discord dan Slack menjadi target menguntungkan untuk menghosting konten berbahaya.
Saint Bot adalah pengunduh kecil lainnya, ia tidak semewah SmokeLoader, tetapi cukup baru dan saat ini dikembangkan secara aktif. Pengembangnya tampaknya memiliki pengetahuan tentang desain malware, yang terlihat dari berbagai teknik yang digunakan. Namun, semua teknik yang diterapkan terkenal dan cukup standar, dan sejauh ini tidak menunjukkan banyak kreativitas.
