Hati-hati! Aplikasi Telegram Palsu Berisi Malware Beredar di Internet

JAKARTA - Aplikasi perpesanan instan Telegram palsu kini sedang marak beredar di Internet, bagi Anda yang belum memilikinya, jangan coba-coba tergiur untuk mendownload aplikasi ini.

Sebab, menurut laporan peneliti keamanan siber Minerva Labs, seseorang telah mendistribusikan dua file dalam satu unduhan untuk malware yang dijuluki PurpleFox.

Uniknya, malware PurpleFox dapat menghindari deteksi anti-virus dengan memisahkan serangan menjadi potongan-potongan kecil yang terbang di bawah radar.

Serangan PurpleFox itu berhasil menghindari deteksi oleh produk anti-virus seperti Avira, ESET, Kaspersky, McAfee, Panda, Trend Micro, Symantec dan banyak lagi.

“Kami sering mengamati pelaku ancaman menggunakan perangkat lunak yang sah untuk menjatuhkan file berbahaya. Namun kali ini berbeda. Pelaku ancaman ini mampu meninggalkan sebagian besar serangan di bawah radar dengan memisahkan serangan menjadi beberapa file kecil, yang sebagian besar memiliki tingkat deteksi yang sangat rendah oleh mesin anti-virus, dengan tahap akhir yang mengarah ke infeksi rootkit Purple Fox," ujar para peneliti.

Perlu dicatat, Minerva Labs mendeteksi pemasang menggunakan skrip AutoIt yang dikompilasi bernama "Telegram Desktop.exe", sementara yang sah adalah program AutoIT yang menjalankan pengunduh (TextInputh.exe).

Mengutip TechRadar, Rabu, 5 Januari, malware ini pertama-tama akan memindai perangkat, menonaktifkan mekanisme pertahanan apa pun, menginstal beberapa entri registri, dan setelah siap, malware akan memberi sinyal ke server Command and Control (C2), dan pengunduhan malware tahap dua dapat dimulai.

Ketika TextInputh.exe dijalankan, itu akan membuat folder baru ("1640618495") di bawah "C:\Users\Public\Videos\" dan sambungkan ke C2 untuk mengunduh utilitas 7z dan arsip RAR (1.rar).

Arsip RAR itu berisi payload dan file konfigurasi, sedangkan program 7z membongkar semuanya ke folder ProgramData. TextInputh.exe kemudian melakukan beberapa tindakan pada perangkat yang telah terinfeksi.

Di antaranya, salin 360.tct dengan nama “360.dll”, rundll3222.exe, dan svchost.txt ke folder ProgramData, jalankan ojbk.exe dengan baris perintah "ojbk.exe -a", lalu menghapus 1.rar dan 7zz.exe dan keluar dari proses

Dan kemudian menjatuhkan lima file tambahan ini ke sistem yang terinfeksi, yakni Calldriver.exe, Driver.sys, dll.dll, kill.bat, speedmem2.hg. Lima file tersebut bertujuan untuk mematikan dan memblokir inisiasi proses perlindungan dari 360 anti-virus dari ruang kernel, sehingga memungkinkan alat serangan tahap berikutnya bisa berjalan tanpa terdeteksi.

“Keindahan serangan ini adalah setiap tahap dipisahkan ke file berbeda yang tidak berguna tanpa seluruh kumpulan file. Ini membantu penyerang melindungi file-nya dari deteksi anti-virus," ujar peneliti Minerva Labs.

Setelah memblokir 360 anti-virus, malware kemudian mengumpulkan daftar informasi sistem, memeriksa untuk melihat apakah daftar panjang alat keamanan berjalan, dan, akhirnya, mengirimkan semua informasi ke alamat C2 yang di-hardcode.

Sebagai informasi, Purple Fox, yang pertama kali muncul pada tahun 2018, adalah kampanye malware yang hingga Maret 2021 kemarin memerlukan interaksi pengguna atau semacam alat pihak ketiga untuk menginfeksi mesin Windows.

Minerva Labs mengatakan bahwa mereka sering menemukan sejumlah besar penginstal jahat yang mengirimkan versi rootkit Purple Fox menggunakan rantai serangan yang sama. Tidak sepenuhnya jelas bagaimana itu didistribusikan, meskipun peneliti percaya bahwa beberapa dikirim melalui email, sementara yang lain mungkin diunduh dari situs phishing.