Jakarta (PARADE.ID)- Perusahaan keamanan siber asal Amerika Serikat, Morphisec, menemukan distribusi perangkat lunak jahat (malware) berjuluk “Jupyter” yang memiliki kemampuan mencuri data browser di Chromium, Firefox, dan Chrome.
Morphisec mengatakan, Jupyter sejauh ini beroperasi dengan menargetkan entitas bisnis dan pendidikan tinggi. Malware ini membidik informasi seperti nama pengguna, kata sandi, cookies, detail kartu kredit, dan informasi pribadi lainnya.
Selain mencuri informasi pribadi pengguna, operator di balik Jupyter juga serta membuat backdoor ke sistem yang disusupi atau malwarelain seperti ransomware, penambang cryptocurrency, jenis Trojan, dan lain-lain. Bahkan, malware ini dapat digunakan untuk menjalankan skrip dan perintah PowerShell dengan menggunakan kemampuan backdoor-nya, demikian seperti dikutip dari PC Risk, diakses Senin (30 November 2020).
Jupyter pertama kali ditemukan pada jaringan sebuah lembaga pendidikan tinggi yang tidak disebutkan namanya di AS. Jupyter diperkirakan sudah aktif sejak Mei 2020 dengan menargetkan data di pengguna browserChromium, Firefox, dan Chrome.
Operator Jupiter memulai kampanye serangan dengan membuat targetnya mengunduh penginstal “Inno Setup” dalam arsip ZIP yang berfungsi sebagai software yang sah. Beberapa penginstal ini tidak terdeteksi sepenuhnya pada platform pemindaian VirusTotal selama enam bulan terakhir. Penginstal kemudian akan memanfaatkan teknik proses hollowing untuk memasukkannya ke dalam memori proses sebuah .NET loader yang bertindak sebagai client untuk server perintah dan kontrol.
“Client kemudian mengunduh tahap berikutnya, perintah PowerShell yang menjalankan modul Jupyter .NET dalam memori,” jelas Morphisec seperti dikutip dari ZDNet.
Untuk mengelabuhi pemilik perangkat, Jupyter disamarkan dalam file ZIP atau menggunakan ikon Microsoft Word dan nama file yang sepertinya harus segera dibuka—cenderung berkedok dokumen penting, detail perjalanan, atau soal penggajian.
File yang dikirimkan ke email bisa berbentuk dokumen Microsoft Office, PDF, RAR, file yang dapat dijalankan (seperti .exe), dan file JavaScript.
Dari pengamatan Morphisec, penginstal awal yang memulai rantai serangan berpura-pura sebagai dokumen Microsoft Word dan menggunakan nama berikut:
- The-Electoral-Process-Worksheet-Key.exe
- Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe
- Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe
- Sample-Letter-For-Emergency-Travel-Document
Selanjutnya, penginstal akan menjalankan perangkat yang sah seperti “Docx2Rtf” dan “Magix Photo Manager” untuk membuat pengalihan sambil meletakkan dua skrip PowerShell di latar belakang, yang satu dikodekan dan didekodekan oleh yang lain, tulis BleepingComputer.
Sedangkan, pada versi terbaru dari penginstal awal juga mengandalkan kerangka kerja PoshC2 yang digunakan dalam pengujian penetrasi untuk menetapkan persistensi pada mesin dengan membuat file LNK pintasan dan menempatkannya di folder startup.
Setelah terinstal sepenuhnya pada sistem, Jupyter mencuri informasi termasuk nama pengguna, sandi, pelengkapan otomatis, riwayat penelusuran, dan cookie, dan mengirimkannya ke server perintah dan kontrol.
Tidak jelas apa motif sebenarnya untuk mencuri informasi tersebut, tetapi penjahat siber dapat menggunakannya untuk mendapatkan akses tambahan ke jaringan untuk serangan lebih lanjut.
Serangan ini juga berpotensi untuk mencuri data yang sangat sensitif, menjual kredensial login dan akses backdoor sistem ke penjahat lain.
Terkait peretas Rusia
Morphisec menduga kuat Jupyter merupakan malware yang digunakan oleh peretas Rusia.
Perusahaan mengatakan bahwa banyak dari server C2 Jupyter berada di Rusia. Meskipun banyak dari server tersebut yang saat ini tidak aktif. Selain itu, dalam penelusuran lagi, untuk panel administrasi Jupyter, menunjukkan hasil dari forum berbahasa Rusia juga memperkuat dugaan tersebut.
Morphisec juga melihat kesalahan ketik yang konsisten dengan nama Jupyter yang dikonversi dari bahasa Rusia.
(Cyberthreat.id/PARADE.ID)
