Waspada SambaSpy, trojan eksotis serang pengguna di Italia

Ilustrasi (dok)

JAKARTA (IndoTelko) - Tim Riset dan Analisis Global (GReAT/ Global Research and Analysis Team) Kaspersky telah menemukan kampanye malware canggih yang secara eksklusif menargetkan pengguna di Italia. Kampanye ini melibatkan distribusi Trojan Akses Jarak Jauh (RAT) baru —yang dijuluki SambaSpy oleh para peneliti— yang memiliki kemampuan seperti manajemen sistem berkas, kontrol webcam, pencurian kata sandi, dan manajemen desktop jarak jauh.

Tidak seperti kebanyakan serangan malware yang menjangkau banyak negara dan bahasa, kampanye SambaSpy menonjol karena penargetannya yang tepat. Malware ini telah direkayasa untuk menginfeksi hanya pengguna yang sistemnya disetel ke bahasa Italia, memastikan kemungkinan keberhasilan maksimum di wilayah ini. Menurut telemetri Kaspersky, kampanye ini dimulai pada Mei 2024 dan tidak menunjukkan tanda-tanda melambat.

Diungkapkan Peneliti keamanan siber senior di GReAT Kaspersky, Giampaolo Dedola, pihaknya terkejut dengan penargetan yang sempit dari serangan ini. "Biasanya, penjahat siber bertujuan untuk menginfeksi sebanyak mungkin pengguna, tetapi rantai infeksi SambaSpy mencakup pemeriksaan khusus untuk memastikan bahwa hanya pengguna Italia yang terpengaruh," ujarnya.

Kaspersky mengidentifikasi dua rantai infeksi yang sedikit berbeda yang digunakan dalam kampanye tersebut. Salah satu metode infeksi yang sangat rumit dimulai dengan email phishing, yang tampaknya berasal dari perusahaan real estat Italia yang sah. Email tersebut meminta pengguna untuk melihat faktur dengan mengeklik tautan yang disematkan. Tautan ini mengarahkan pengguna ke layanan cloud Italia yang sah yang digunakan untuk pengelolaan faktur.

Namun, pengguna alih-alih diarahkan ke server web berbahaya, tempat malware memvalidasi pengaturan browser dan bahasa. Jika pengguna menjalankan Edge, Firefox, atau Chrome dengan pengaturan bahasa Italia, mereka diarahkan ke URL OneDrive berbahaya yang berisi PDF tersematkan malware. Ini memulai pengunduhan dropper atau downloader, yang keduanya akhirnya mengirimkan SambaSpy RAT.

SambaSpy adalah RAT berfitur lengkap yang ditulis dalam Java dan disamarkan menggunakan Zelix KlassMaster. Malware canggih ini dapat melakukan berbagai aktivitas berbahaya, seperti :

1. Manajemen sistem file dan proses

2. Kontrol webcam

3. Pencatatan penekanan tombol (Keystroke logging) dan manipulasi clipboard

4. Manajemen desktop jarak jauh

5. Pencurian kata sandi dari browser utama seperti Chrome, Edge, dan Opera

6. Pengunggahan dan pengunduhan file

7. Kemampuan untuk memuat plugin tambahan saat runtime

8. Mekanisme pemuatan plugin SambaSpy dan penggunaan pustaka seperti JNativeHook menunjukkan tingkat kecanggihan yang digunakan oleh para penyerang.

Peneliti Kaspersky telah mengidentifikasi hubungan yang kuat dengan Brasil. Komentar dan pesan kesalahan dalam kode berbahayaditulis dalam bahasa Portugis Brasil, yang menunjukkan bahwa pelaku ancaman di balik serangan tersebut bisa jadi merupakan berasal dari Brasil. Lebih jauh, infrastruktur yang digunakan dalam kampanye tersebut telah dikaitkan dengan serangan lain di Brasil dan Spanyol, meskipun alat infeksi di wilayah ini sedikit berbeda dari yang digunakan di Italia.

Berikut saran dari Kaspersky untuk memaksimalkan keamanan organisasi Anda :

1. Jangan mengekspos layanan desktop jarak jauh, seperti RDP, ke jaringan publik kecuali benar-benar diperlukan, dan selalu gunakan kata sandi yang kuat.

2. Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya selalu mutakhir, karena eksploitasi jenis perangkat lunak ini merupakan vektor infeksi ransomware yang umum. Selalu perbarui aplikasi sisi klien.

3. Fokuskan strategi pertahanan Anda untuk mendeteksi pergerakan lateral dan pencurian data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat siber. Cadangkan data secara teratur.

4. Pastikan Anda dapat mengaksesnya dengan cepat dalam keadaan darurat. Gunakan informasi Threat Intelligence terbaru untuk tetap mengetahui TTP terbaru yang digunakan oleh pelaku ancaman.

5. Gunakan layanan Managed Detection and Response untuk membantu mengidentifikasi dan menghentikan serangan pada tahap awal, sebelum penyerang mencapai tujuan akhir mereka.

6. Untuk melindungi lingkungan perusahaan, berikan edukasi kepada karyawan Anda. Kursus pelatihan khusus dapat membantu, seperti yang disediakan di Kaspersky Automated Security Awareness Platform.

7. Gunakan solusi keamanan yang kompleks, yang menggabungkan fitur perlindungan titik akhir dan respons insiden otomatis, seperti Kaspersky NEXT. (mas)