Credit image: Dreamina
Trojan GodRAT Khusus Targetkan Lembaga Keuangan – Institusi keuangan, seperti perusahaan perdagangan dan pialang, menjadi target kampanye baru yang menyebarkan trojan akses jarak jauh (remote access trojan) yang sebelumnya tidak dilaporkan, bernama GodRAT.
Menurut peneliti, aktivitas berbahaya ini melibatkan distribusi file berbahaya .SCR (screen saver) yang menyamar sebagai dokumen keuangan melalui messenger Skype.
Serangan ini, yang aktif hingga 12 Agustus 2025, menggunakan teknik steganografi untuk menyembunyikan shellcode di dalam file gambar.
Shellcode ini kemudian digunakan untuk mengunduh malware dari server command-and-control (C2). Artefak screen saver ini telah terdeteksi sejak 9 September 2024, menargetkan negara dan wilayah seperti Hong Kong, Uni Emirat Arab, Lebanon, Malaysia, dan Yordania.
|
Baca juga: Serangan Brute Force Gila-gilaan Ancam Dunia Maya |
Evolusi dan Kemampuan GodRAT
GodRAT dinilai berbasis pada Gh0st RAT, trojan yang kode sumbernya bocor ke publik pada tahun 2008 dan sejak itu diadopsi oleh berbagai kelompok peretasan Tiongkok.
GodRAT mengikuti pendekatan berbasis plugin untuk menambah fungsionalitasnya, dengan tujuan mencuri informasi sensitif dan menyebarkan payload sekunder seperti AsyncRAT.
Perusahaan keamanan siber Rusia tersebut menyatakan bahwa malware ini merupakan evolusi dari backdoor berbasis Gh0st RAT lainnya yang dikenal sebagai AwesomePuppet, yang pertama kali didokumentasikan pada tahun 2023 dan diyakini merupakan hasil karya kelompok ancaman Tiongkok yang produktif, Winnti (alias APT41).
File screen saver ini berfungsi sebagai eksekusi yang dapat mengekstrak dirinya sendiri (self-extracting executable), menggabungkan berbagai file tersemat, termasuk DLL berbahaya yang disisipkan oleh eksekusi yang sah.
DLL tersebut mengekstrak shellcode yang tersembunyi di dalam file gambar .JPG, yang kemudian membuka jalan bagi penyebaran GodRAT.
Trojan ini membangun komunikasi dengan server C2 melalui TCP, mengumpulkan informasi sistem, dan mengambil daftar perangkat lunak antivirus yang terinstal.
Detail yang ditangkap kemudian dikirim ke server C2, yang akan merespons dengan instruksi lanjutan yang memungkinkannya untuk:
- Menyuntikkan DLL plugin yang diterima ke dalam memori.
- Menutup soket dan mengakhiri proses RAT.
- Mengunduh file dari URL yang disediakan dan meluncurkannya.
- Membuka URL yang diberikan menggunakan perintah shell untuk membuka Internet Explorer.
Salah satu plugin yang diunduh oleh malware adalah DLL FileManager, yang dapat menghitung sistem file, melakukan operasi file, membuka folder, dan bahkan menjalankan pencarian file di lokasi tertentu.
Plugin ini juga digunakan untuk menyebarkan payload tambahan, seperti pencuri kata sandi untuk peramban Google Chrome dan Microsoft Edge, serta trojan AsyncRAT.
|
Baca juga: Situs Chrome Abal-abal Distributor Malware Berbahaya |
Kode Sumber yang Terbongkar dan Dampaknya
Peneliti menemukan kode sumber lengkap untuk klien dan builder GodRAT yang diunggah ke pemindai malware online VirusTotal pada akhir Juli 2024. Builder ini dapat digunakan untuk membuat file eksekusi atau DLL.
Ketika opsi eksekusi dipilih, pengguna dapat memilih biner yang sah dari daftar (seperti svchost.exe, cmd.exe, curl.exe, dll.) di mana kode berbahaya akan disuntikkan. Payload akhir dapat disimpan dengan berbagai jenis file, termasuk .exe, .com, .bat, .scr, dan .pif.
Kebocoran kode sumber dan penemuan GodRAT menunjukkan bahwa basis kode implan lama, seperti Gh0st RAT yang berusia hampir dua dekade, masih terus digunakan dan disesuaikan untuk menargetkan berbagai korban.
Semoga informasi mengenai Trojan GodRAT Khusus Targetkan Lembaga Keuangan dapat memberi wawasan baru seputar dunia siber dan bermanfaat.
Sumber berita:
