Bagikan:

JAKARTA - Para ahli Kaspersky mengungkap kampanye spionase dunia maya baru yang sebelumnya tidak diketahui pada bulan Februari 2024, yang menargetkan entitas pemerintah di Timur Tengah. 

Kampanye spionase ini melihat penyerang secara diam-diam memata-matai target dan mengambil data sensitif menggunakan serangkaian alat canggih yang dirancang untuk memantau dan bertahan lama. 

“Variasi malware ini menunjukkan kemampuan adaptasi dan kecerdikan para pelaku ancaman di balik kampanye ini,” kata Sergey Lozhkin, peneliti keamanan utama di GReAT (Global Research and Analysis Team) Kaspersky.

Kaspersky menyebutkan bahwa dropper awal malware menyamar sebagai file penginstal rusak untuk alat sah bernama Total Commander. Di dalam dropper ini, tertanam string dari puisi Spanyol, dengan string yang berbeda dari satu sampel ke sampel lainnya. 

Variasi ini bertujuan untuk mengubah tanda tangan setiap sampel, sehingga pendeteksian dengan metodologi tradisional menjadi lebih sulit.

Tertanam di dalam dropper adalah kode berbahaya yang dirancang untuk mengunduh muatan tambahan dalam bentuk backdoor bernama CR4T, yang bertujuan untuk memberikan akses kepada penyerang ke mesin korban.

“Saat ini, kami telah menemukan dua implan serupa, namun kami sangat mencurigai adanya implan tambahan,” tambah Lozhkin lebih lanjut. 

Telemetri Kaspersky mengidentifikasi korban di Timur Tengah pada awal Februari 2024. Selain itu, beberapa unggahan malware yang sama ke layanan pemindaian malware semi-publik terjadi pada akhir tahun 2023, dengan lebih dari 30 pengiriman. 

Sumber lain yang dicurigai sebagai titik keluar VPN berlokasi di Korea Selatan, Luksemburg, Jepang, Kanada, Belanda, dan Amerika Serikat.