Generasi Baru Malware Triple Threat, Ganas!!

Mendengar kata Triple Threat teringat film tenar yang dibintangi oleh Iko Uwais aktor laga Indonesia yang telah mendunia. Lalu apa hubungannya Triple Threat dengan dunia siber? Baru-baru ini peneliti keamanan ESET menemukan keluarga malware ganas yang diberinama KryptoCibule, sebuah malware dengan ancaman tiga kali lipat. Triple Threat!

Malware berbahaya ini sebelumnya tidak terdeteksi oleh peneliti keamanan mana pun, sampai peneliti ESET berhasil menelusuri kehadirannya. KryptoCibule diketahui menerapkan berbagai teknik untuk menghindari deteksi. Dan memanfaatkan jaringan Tor dan protokol BitTorrent secara ekstensif dalam infrastruktur komunikasinya.

ESET telah melacak banyak versi dari malware ini, termasuk evolusinya yang sudah terdeteksi sejak Desember 2018. Uniknya, malware KryptoCibule memiliki teknologi anti deteksi dan anti analisis yang secara khusus memeriksa produk keamanan endpoint ESET dan dua vendor lainnya.

Kemampuan siluman KryptoCibule

Malware berbahaya dan ganas memiliki kemampuan lebih dari malware pada umumnya, kemampuan siluman yang membuatnya ditakuti dan diwaspadai. Berikut tiga kelebihan KryptoCibule:

1. 1.  Cryptomining

Versi terbaru KryptoCibule menggunakan XMRig, program open source yang menambang Monero menggunakan CPU, dan kawpowminer, program open source lain yang menambang Ethereum menggunakan GPU. Yang kedua hanya digunakan jika GPU khusus ditemukan di host. Kedua program ini diatur untuk terhubung ke server penambangan yang dikendalikan operator melalui proxy Tor.

Malware memeriksa level baterai dan waktu sejak pengguna menggunakannya terakhir kali. Ia kemudian memulai atau menghentikan proses penambang berdasarkan informasi ini. Jika host tidak menerima masukan pengguna dalam 3 menit terakhir dan memiliki setidaknya 30% baterai, penambang GPU dan CPU berjalan tanpa batas.

Jika tidak, penambang GPU akan ditangguhkan, dan penambang CPU dibatasi pada satu utas. Jika level baterai di bawah 10%, kedua penambangan dihentikan. Ini dilakukan untuk mengurangi kemungkinan diperhatikan oleh korban.

2. 2.  Pembajak Clipboard

KryptoCibule menggunakan fungsi AddClipboardFormatListener untuk memantau perubahan pada clipboard dan untuk menerapkan aturan penggantian.

Aturan ini cocok dengan format alamat dompet cryptocurrency dan menggantinya dengan alamat dompet yang dikendalikan oleh operator malware. Ini adalah upaya untuk mengalihkan transaksi yang dilakukan oleh korban ke dompet operator. Komponen ini menggunakan FileSystemWatcher untuk memuat ulang aturan penggantian setiap kali file settings.cfg diubah.

Terakhir kali dipantau, dompet yang digunakan oleh komponen pembajakan clipboard telah menerima lebih dari US$ 1.800 dalam Bitcoin dan Ethereum. Dengan menghubungkan dompet yang digunakan sebagai source dalam transaksi yang sama seperti yang diketahui, ESET dapat menemukan setidaknya 4 dompet Bitcoin tambahan yang kemungkinan dimiliki oleh operator KryptoCibule.

3. 3.  Pencuri data

Teknik ketiga berjalan melalui sistem file dari setiap drive yang tersedia dan mencari nama file yang mengandung istilah tertentu. Daftar file yang diperoleh selama penyelidikan ESET yaitu sebagai berikut:

[“wallet.dat”, “utc–2014”, “utc–2015”, “utc–2016”, “utc–2017”, “utc–2018”, “utc–2019”, “utc–2020”, “.address.txt”, “electrum”, “bitcoin”, “litecoin”, “ethereum”, “cardano”, “zcash”, “monero”, “cripto”, “krypto”, “binance”, “tradeogre”, “coinbase”, “tether”, “daedalus”, “stellar”, “tezos”, “chainlink”, “blockchain”, “verge”, “bittrex”, “ontology”, “vechain”, “doge”, “qtum”, “augur”, “omisego”, “digibyte”, “seele”, “enjin”, “steem”, “bytecoin”, “zilliqa”, “zcoin”, “miner”, “xmrig”, “xmr-stak”,”electroneum”, “heslo”, “waves”, “banka”, “crypto”, “hesla”, “seed”, “metamask”, “antminer”, “trezor”, “ledger”, “private”, “trx”, “exodus”, “password”, “jaxx”, “guarda”, “atomic.exe”, “copay.exe”, “Green Address Wallet.exe”, “msigna.exe”, “ArmoryQT.exe”, “.ssh”, “.aws”, “Desktop”]

Sebagian besar istilah mengacu pada cryptocurrency, dompet atau penambang, tetapi beberapa istilah yang lebih umum seperti crypto (dalam beberapa bahasa), seed, dan kata sandi juga ada.

ESET yakin bahwa pengembang malware bekerja bersama-sama dengan server SFTP yang berjalan sebagai layanan onion pada port 9187. Server ini membuat pemetaan untuk setiap drive yang tersedia dan membuatnya tersedia menggunakan kredensial yang di-hardcode di malware.

Karenanya, jalur yang dikumpulkan dapat digunakan untuk mencuri file dengan meminta mesin yang dikendalikan pelaku memintanya dari host yang terinfeksi melalui SFTP.

KryptoCibule juga diketahui menginstal server httpd Apache sah yang dikonfigurasi untuk bertindak sebagai proxy penerusan tanpa batasan apa pun dan yang dapat dijangkau sebagai layanan Onion (Tor) pada port 9999.

Malware KryptoCibule telah ada sejak akhir 2018 dan masih aktif, tetapi tampaknya tidak menarik banyak perhatian sampai sekarang. Mereka menggunakan alat open source yang sah dengan berbagai metode anti-deteksi yang digunakan kemungkinan besar bertanggung jawab untuk ini.

Kemampuan baru telah ditambahkan secara teratur ke KryptoCibule selama masa pakainya dan terus dalam pengembangan aktif. Agaknya operator malware dapat menghasilkan lebih banyak uang dengan mencuri dompet dan menambang cryptocurrency daripada yang kami temukan di dompet yang digunakan oleh komponen pembajakan clipboard.

Untuk terhindar menjadi korban dari malware ganas dan berbahaya ini, disarankan menggunakan teknologi keamanan yang mumpuni, berpengalaman dan telah teruji seperti ESET.