Bagikan:

JAKARTA - LinkedIn terkenal sebagai tempat untuk mencari pekerjaan atau merekrut karyawan baru, tetapi belakangan jejaring sosial profesional itu dipenuhi malware berkedok tawaran pekerjaan palsu.

Perusahaan intelijen ancaman Mandiant menemukan kampanye tersebut telah berlangsung sejak Juni 2022. Dan diyakini dalang di balik penipuan ini adalah grup peretas asal Korea Utara.

Grup itu, yakni Lazarus yang dikenal sebagai Operation Dream Job, kerap melanggar sistem milik pengguna kripto. Mereka melaksanakan kampanye malware baru dengan memanfaatkan tawaran pekerjaan palsu di LinkedIn untuk memikat korbannya.

Mulanya, mereka memposting tawaran pekerjaan palsu di industri media, teknologi, dan pertahanan dengan kedok perekrut yang sah.

Bahkan, mereka juga meniru media New York Times dalam satu iklan. Tetapi, Mandiant percaya kampanye baru ini berasal dari grup terpisah untuk Lazarus, dan unik karena malware TouchMove, SideShow, dan TouchShift yang digunakan dalam serangan belum pernah terlihat sebelumnya.

Setelah pengguna menanggapi tawaran pekerjaan LinkedIn, para peretas kemudian melanjutkan proses di WhatsApp, di mana mereka akan membagikan dokumen Word berisi makro berbahaya, lalu menginstal trojan dari situs WordPress yang telah diretas dan digunakan peretas sebagai pusat kendali mereka.

Trojan ini, berdasarkan TightVNC dan dikenal sebagai LidShift, pada gilirannya mengunggah plugin Notepad++ berbahaya yang mengunduh malware dikenal sebagai LidShot, kemudian menyebarkan muatan terakhir pada perangkat, pintu belakang PlankWalk.

Setelah itu, para peretas kemudian menggunakan dropper malware bernama TouchShift, yang disembunyikan dalam file biner Windows. Ini memuat sejumlah besar konten berbahaya tambahan, termasuk TouchShot dan TouchKey, masing-masing utilitas tangkapan layar dan keylogger, serta panggilan pemuat TouchMove.

Dengan cara tersebut, terciptalah backdoor lain yang disebut SideShow, di mana peretas akan mendapatkan kontrol tingkat tinggi atas sistem host, seperti kemampuan untuk mengedit registri, mengubah pengaturan firewall, dan menjalankan muatan tambahan.

Peretas juga menggunakan malware CloudBurst pada perusahaan yang tidak menggunakan VPN, dengan menyalahgunakan layanan manajemen titik akhir Microsoft Intune, seperti dikutip dari TechRadar, Selasa, 14 Maret.

Para peretas juga tidak luput mengeksploitasi kelemahan zero-day pada ASUS Driver7.sys, yang digunakan oleh muatan lain disebut LightShow untuk menambal rutin kernel di perangkat lunak perlindungan Endpoint, dan mencegah deteksi. Saat ini, cacat tersebut telah ditambal.