- SnipBot, malware terbaru dari keluarga RomCom, kembali berulah di dunia siber.
- SnipBot mengincar informasi rahasia dari berbagai sektor, termasuk jasa IT, hukum, dan pertanian.
- Para ahli keamanan siber mengingatkan untuk selalu waspada terhadap serangan siber dan menjaga keamanan perangkat.
pibitek.biz -RomCom, malware yang sempat bikin geger dunia maya tahun lalu dengan aksi brutalnya mengincar militer Ukraina dan para pendukungnya, ternyata nggak mau tinggal diam. Ia kembali muncul dengan wajah baru, lebih licik dan siap untuk melancarkan serangan. Nah, RomCom versi baru ini punya nama panggilan keren, SnipBot. Para ahli keamanan siber dari Unit 42, tim tangguh yang bertugas memburu malware jahat, menemukan bahwa SnipBot udah mulai beraksi sejak Desember tahun lalu. SnipBot ini ternyata keturunan dari RomCom versi 3.0, tapi dia juga mewarisi beberapa jurus jitu dari RomCom versi 4.0.
2 – Serangan Ransomware Turun 300%, Microsoft Ungkap Strategi Baru 2 – Serangan Ransomware Turun 300%, Microsoft Ungkap Strategi Baru
3 – AI: Ancaman Baru bagi Keamanan Siber 3 – AI: Ancaman Baru bagi Keamanan Siber
Alhasil, SnipBot disebut-sebut sebagai versi 5.0 dari keluarga RomCom, yang notabene adalah remote access Trojan (RAT) yang terkenal licin dan sulit ditangkap. RomCom terkenal dengan ulahnya yang suka mencuri data dan mengacaukan sistem, tapi dia juga dikenal sebagai 'penjahat' yang suka meminta tebusan. Tapi sepertinya, RomCom versi baru ini udah berubah haluan. Unit 42 mencatat, RomCom sekarang fokus pada misi spionase, mengumpulkan informasi penting dan rahasia. Mereka sepertinya sudah kapok dengan urusan uang dan beralih ke strategi licik yang lebih menguntungkan.
Namun, para ahli keamanan siber masih belum sepenuhnya memahami motif di balik aksi SnipBot, meskipun mereka sudah melihat banyak korban di berbagai sektor, mulai dari jasa IT, hukum, hingga pertanian. Para ahli keamanan siber dari Unit 42, Yaron Samuel dan Dominik Reichel, dalam analisa mereka, menjelaskan bagaimana SnipBot melancarkan serangannya. Mereka membeberkan bahwa SnipBot menggunakan cara yang sama sekali berbeda untuk masuk ke perangkat korban. Ada dua skenario yang bisa terjadi. Pertama, SnipBot berkamuflase sebagai file executable yang disamarkan sebagai file PDF.
File executable ini kemudian dikirim ke korban melalui email atau pesan yang mengiming-imingi korban. Kedua, SnipBot menyamar sebagai file PDF asli yang dikirim ke korban melalui email phishing. File PDF ini berisi link yang mengarahkan korban ke file executable. Saat korban mengklik link tersebut, mereka sebenarnya sedang mengunduh SnipBot downloader. SnipBot downloader ini merupakan pintu masuk bagi SnipBot untuk masuk ke perangkat korban. SnipBot downloader kemudian akan mengunduh berbagai macam payload, baik itu file executable maupun DLL.
Uniknya, SnipBot downloader selalu dilengkapi dengan sertifikat digital yang sah dan valid. Para ahli keamanan siber masih penasaran bagaimana SnipBot bisa mendapatkan sertifikat ini, namun mereka menduga bahwa para penjahat siber ini mencuri atau mendapatkannya dengan cara curang. Sertifikat ini memungkinkan SnipBot downloader untuk bersembunyi dari sistem keamanan. Meskipun SnipBot downloader menggunakan sertifikat digital yang sah, payload yang diunduh setelahnya tidak memiliki sertifikat ini.
SnipBot downloader ini dilengkapi dengan berbagai teknik kamuflase yang membuatnya sulit dikenali oleh sistem keamanan. Salah satu trik yang digunakan adalah menggunakan algoritma obfuscation yang mengaburkan kode program. SnipBot downloader juga menggunakan teknik anti-sandbox untuk menghindari deteksi. Teknik anti-sandbox yang digunakan SnipBot downloader adalah dengan memeriksa nama file asli dan jumlah entri di registry Windows. Jika ada kejanggalan, SnipBot downloader akan menghentikan aksinya.
Setelah berhasil masuk ke perangkat korban, SnipBot downloader akan menghubungi server C&C untuk menerima perintah. Server C&C ini merupakan pusat komando bagi para penjahat siber untuk mengendalikan SnipBot. Server C&C akan mengirimkan file PDF dan payload tambahan ke perangkat korban. Payload pertama yang dikirimkan adalah payload spyware yang dirancang untuk mencuri informasi sensitif dari perangkat korban. Payload ini akan mengumpulkan informasi seperti nama pengguna, kata sandi, dan data pribadi lainnya.
Payload selanjutnya adalah payload utama SnipBot yang memberikan kemampuan bagi para penjahat siber untuk mengendalikan perangkat korban dari jarak jauh. Dengan payload ini, para penjahat siber bisa menjalankan perintah, mengunduh dan mengunggah file, serta mengunduh dan menjalankan payload tambahan. Unit 42 juga mencatat bahwa para penjahat siber ini juga mencoba mengumpulkan informasi tentang jaringan internal perusahaan yang menjadi target serangan. Mereka juga berusaha mencuri file-file penting dari folder dokumen, folder unduhan, dan OneDrive korban.
Data yang dicuri kemudian dikirim ke server yang dikendalikan oleh para penjahat siber. RomCom, malware yang dulunya hanya fokus pada aksi pencurian data dan pemerasan, sekarang udah beralih ke strategi spionase. Para penjahat siber di balik RomCom sepertinya udah menemukan cara baru untuk mendapatkan keuntungan dengan mengumpulkan informasi penting dari target mereka. Aksi SnipBot ini merupakan bukti bahwa para penjahat siber terus mengembangkan kemampuannya untuk menyerang sistem dan mencuri data.
Mereka semakin licik dan pintar dalam menyembunyikan jejaknya. Penting bagi para pengguna internet untuk waspada terhadap ancaman siber dan selalu menjaga keamanan perangkat mereka. Cara terbaik untuk menghindari serangan malware seperti SnipBot adalah dengan selalu mengunduh aplikasi dari sumber yang terpercaya, berhati-hati dalam membuka email dan pesan dari pengirim yang tidak dikenal, serta menggunakan software keamanan yang mutakhir. Selain itu, organisasi dan perusahaan juga harus meningkatkan keamanan jaringan mereka untuk mencegah serangan malware.
Mereka perlu menerapkan sistem keamanan yang kuat, melatih karyawan tentang keamanan siber, dan selalu memperbarui software mereka. Unit 42 menyarankan agar semua organisasi meningkatkan kewaspadaan dan mengadopsi langkah-langkah keamanan yang lebih canggih untuk melindungi sistem dan data mereka dari serangan siber yang terus berkembang. Tim tangguh CERT-UA (Computer Emergency Response Team of Ukraine) juga ikut turun tangan dalam memerangi RomCom. Mereka telah mengeluarkan peringatan mengenai RomCom dan cara kerjanya.
CERT-UA memperingatkan bahwa para penjahat siber di balik RomCom mengincar karyawan perusahaan pertahanan dan angkatan bersenjata Ukraina. Mereka juga mengumumkan bahwa para penjahat siber ini terus mengembangkan arsenal malware mereka. CERT-UA menghimbau organisasi dan individu untuk waspada terhadap email dari pengirim yang tidak dikenal, meskipun pengirim tersebut mengaku sebagai pegawai pemerintah. Mereka juga mengingatkan untuk tidak mengunduh atau membuka file yang mencurigakan. RomCom, malware yang awalnya dirancang untuk mencuri data dan uang, sekarang telah bermetamorfosis menjadi senjata spionase.
Para penjahat siber di balik RomCom terus beradaptasi dan mengembangkan taktik mereka untuk melancarkan serangan. Mereka mengincar organisasi dan individu yang memiliki informasi penting yang ingin mereka dapatkan. Para pengguna internet harus waspada terhadap ancaman siber yang terus berkembang. Mereka perlu menjaga keamanan perangkat dan informasi pribadi mereka untuk menghindari menjadi korban serangan malware. Organisasi dan perusahaan juga harus meningkatkan keamanan jaringan mereka untuk mencegah serangan siber.
RomCom adalah bukti bahwa para penjahat siber akan terus melakukan inovasi untuk mencapai tujuan mereka. Mereka tidak akan pernah berhenti mencari celah dalam sistem keamanan untuk mencuri data dan uang. Penting bagi semua orang untuk waspada terhadap ancaman siber dan selalu menjaga keamanan perangkat dan informasi pribadi mereka.
