Penjahat dunia maya sedang sebat bergerak dalam kegelapan, sebuah operasi siber mereka lancarkan menggunakan torrent untuk menyusupkan backdoor. Backdoor ini menyebar melalui situs torrent Korea Selatan dan Cina. Malware memungkinkan pelaku untuk menghubungkan komputer yang terinfeksi ke botnet dan mengendalikannya dari jarak jauh.
Malware yang bersangkutan adalah versi modifikasi dari backdoor yang tersedia untuk umum bernama GoBot2, modifikasi pada source codeterutama teknik penghindaran khusus Korea Selatan. ESET telah menjuluki GoBotKR sebagai varian Win64/GoBot2. Dengan 80% dari semua deteksi ditujukan kepada Korea Selatan sebagai negara yang paling terkena dampak, diikuti oleh China (10%) dan Taiwan (5%). Menurut telemetri ESET, GoBotKR telah aktif sejak 2018.
“Para pelaku di balik operasi ini mencoba menipu pengguna untuk mengeksekusi malware melalui jebakan konten torrent dengan file jahat yang memiliki nama file, ekstensi, dan ikon yang menipu,” kata Peneliti ESET Zuzana Hromcova, yang menganalisis malware.
Analisis ESET menunjukkan bahwa torrent menggunakan penyamaran acara film/TV umumnya berisi jenis file berikut:
- File MP4.
- Eksekusi jahat yang disamarkan sebagai file arsip PMA dengan nama file meniru berbagai pemasang codec
- File LNK berbahaya dengan nama file dan ikon meniru file video.
Menurut ESET, malware itu tidak terlalu rumit secara teknis. Namun, para aktor di balik GoBotKR sedang membangun jaringan bot yang kemudian dapat digunakan untuk melakukan berbagai serangan DDoS seperti SYN Flood, UDP Flood, atau Slowloris. Oleh karena itu, setelah dieksekusi, GoBotKR pertama bekerja dengan mengumpulkan informasi sistem tentang komputer yang dikompromikan, termasuk konfigurasi jaringan, informasi versi OS, dan versi CPU dan GPU. Secara khusus, ia mengumpulkan daftar perangkat lunak antivirus yang diinstal.
“Informasi ini dikirim ke server C&C, yang membantu pelaku menentukan bot mana yang harus digunakan dalam serangan masing-masing. Semua server C&C yang kami ekstrak dari sampel malware yang dianalisis di-host di Korea Selatan dan terdaftar oleh orang yang sama,” urai Hromcova dalam penyelidikannya.
Cara kerja malware
Langsung membuka file MP4 yang dimaksud tidak akan menghasilkan suatu hal yang buruk. Yang dituju di sini adalah file MP4 sering disembunyikan di direktori yang berbeda, dan pengguna akan menemukan file LNK berbahaya yang menirunya. Ini bisa saja terjadi karena ekstensi file LNK biasanya tidak ditampilkan ketika dilihat di Windows Explorer,
Mengklik pada file LNK yang menyamar sama dengan mengeksekusi malware. Namun, itu juga membuka file yang dimaksud dalam hal ini video, memberikan korban sedikit alasan untuk mencurigai ada yang tidak beres.
Mengganti nama file EXE berbahaya ke file PMA juga kemungkinan dilakukan untuk mencegah meningkatnya kecurigaan terhadap korban. ESET juga telah melihat teknik ini menggunakan game sebagai iming-iming, dan dengan nama file dan ekstensi yang relevan dengan game.
Menelaah malware
GoBotKR dibangun berdasarkan backdoor bernama GoBot2, source code yang telah tersedia untuk umum sejak Maret 2017. Baik versi asli dan yang dimodifikasi ditulis dalam GoLang, juga dikenal sebagai Go. Meskipun masih relatif jarang untuk malware, varian baru malware GoLang perlahan menunjukkan eksistensinya.
Fungsionalitas GoBotKR sebagian besar tumpang tindih dengan source code GoBot2 yang diterbitkan dengan hanya modifikasi minimal. Secara keseluruhan, malware tidak terlalu rumit secara teknis, dan implementasinya agak mudah. Sebagian besar fitur diimplementasikan dengan menggunakan pustaka GoLang, dan dengan menjalankan perintah Windows seperti cmd, ipconfig, netsh, shutdown, start, systeminfo, taskkill, ver, whoami, dan wmic, dan utilitas pihak ketiga seperti BitTorrent dan uTorrent klien.
Agar tetap aman
Jika curiga telah menjadi korban kampanye malware ini, ESET sarankan untuk memindai komputer dengan solusi keamanan yang andal. Produk ESET mendeteksi dan memblokir malware ini dengan nama deteksi Win64/GoBot2. Pengguna dapat menggunakan ESET Online Scanner secara cuma-cuma untuk memeriksa apakah komputer mengidap ancaman ini dan menghapus apa pun yang terdeteksi. Pelanggan ESET sudah pasti dilindungi secara otomatis.
Konten bajakan yang didistribusikan melalui situs torrent adalah vektor terkenal untuk menyebarkan semua jenis malware. Untuk menghindari serangan serupa di masa mendatang, tetap gunakan sumber resmi saat mengunduh konten. Sebelum meluncurkan file yang diunduh, perhatikan apakah ekstensi mereka cocok dengan tipe file yang dimaksud. Agar komputer Anda terlindungi, kami menyarankan Anda untuk menambal secara teratur dan menggunakan perangkat lunak keamanan yang memiliki reputasi baik.
