NATIVZEN.com – Tim Riset dan Analisis Global (GReAT) Kaspersky telah menemukan kampanye malware canggih yang secara eksklusif menargetkan pengguna di Italia. Kampanye ini melibatkan distribusi Trojan Akses Jarak Jauh (RAT) baru yang dijuluki SambaSpy.
Trojan ini memiliki kemampuan untuk mengelola sistem berkas, mengontrol webcam, mencuri kata sandi, dan mengelola desktop secara jarak jauh. Menariknya, SambaSpy terlihat begitu menonjol karena penargetannya yang tepat.
Malware ini direkayasa untuk menginfeksi hanya pengguna yang sistemnya disetel ke bahasa Italia, memastikan keberhasilan maksimum di wilayah tersebut. Berdasarkan telemetri Kaspersky, kampanye ini dimulai pada Mei 2024 dan masih berlanjut hingga kini.
“Kami terkejut dengan penargetan sempit dari serangan ini. Biasanya, penjahat siber bertujuan menginfeksi sebanyak mungkin pengguna. Tetapi, rantai infeksi SambaSpy hanya menyasar pengguna di Italia,” ujar Giampaolo Dedola, peneliti keamanan siber senior di GReAT Kaspersky.
Metode Infeksi yang Rumit
Kaspersky mengidentifikasi dua rantai infeksi yang berbeda dalam penyebaran malware ini. Salah satu metode infeksi yang sangat rumit dimulai dengan e-mail phishing yang tampaknya berasal dari salah satu perusahaan real estat di Italia.
E-mail tersebut meminta pengguna untuk melihat faktur dengan mengklik tautan yang disematkan. Tautan ini mengarahkan pengguna ke layanan cloud di Italia yang resmi, dan memang digunakan untuk pengelolaan faktur.
Namun, pengguna kemudian diarahkan ke server web berbahaya tempat malware memvalidasi pengaturan browser dan bahasa. Jika pengguna menjalankan Edge, Firefox, atau Chrome dengan pengaturan bahasa Italia, mereka diarahkan ke URL OneDrive berbahaya.
OneDrive berbahaya itu menyimpan sebuah file PDF yang mengandung malware. Sampai di sini, telah proses pengunduhan dropper atau downloader telah dimulai, yang pada akhirnya akan mengirimkan SambaSpy RAT.
Fitur dan Kemampuan SambaSpy
SambaSpy adalah RAT dengan fitur terbilang lengkap, yang ditulis dalam bahasa pemrograman Java dan disamarkan menggunakan Zelix KlassMaster. Malware canggih ini dapat melakukan berbagai aktivitas berbahaya, termasuk:
- Manajemen sistem file dan proses
- Kontrol webcam
- Pencatatan penekanan tombol (Keystroke logging) dan manipulasi clipboard
- Manajemen desktop jarak jauh
- Pencurian kata sandi dari browser utama seperti Chrome, Edge, dan Opera
- Pengunggahan dan pengunduhan file
- Kemampuan untuk memuat plugin tambahan saat runtime
Meskipun target utama adalah pengguna Italia, peneliti Kaspersky menemukan hubungan kuat dengan Brasil. Komentar dan pesan kesalahan dalam kode berbahaya ditulis dalam bahasa Portugis Brasil, yang menunjukkan bahwa pelaku ancaman mungkin berasal dari Brasil.
Sementara itu, infrastruktur yang digunakan dalam pendistribusian malware ini juga terkait dengan serangan lain di Brasil dan Spanyol, meskipun alat infeksi di wilayah ini sedikit berbeda dari yang digunakan di Italia.
Langkah-Langkah Perlindungan
Untuk memaksimalkan keamanan organisasi, Kaspersky menyarankan beberapa langkah perlindungan:
- Jangan mengekspos layanan desktop jarak jauh seperti RDP ke jaringan publik kecuali benar-benar diperlukan dan selalu gunakan kata sandi yang kuat.
- Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya selalu mutakhir.
- Memfokuskan strategi pertahanan untuk mendeteksi pergerakan lateral dan pencurian data ke internet.
- Cadangkan data secara teratur dan pastikan dapat diakses dengan cepat dalam keadaan darurat.
- Gunakan informasi Threat Intelligence terbaru untuk mengetahui TTP terbaru yang digunakan oleh pelaku ancaman.
Itulah beberapa langkah dasar yang bisa dilakukan agar terhindar dari serangan SambaSpy. Berdasarkan penjelasan Kaspersky, metode penyerangan SambaSpy sangat memberikan kerugian yang besar dalam segi privasi para korbannya.