Teknogav.com - Kampanye malware canggih yang menjadikan pengguna di Italia sebagai sasaran ditemukan oleh Tim Riset dan Analisis Global (GReAT/ Global Research and Analysis Team) Kaspersky. Distribusi Trojan Akses Jarak Jauh (RAT) baru yang dijuluki SambaSpy oleh para peneliti dilibatkan pada kampanye ini. Kemampuan SambaSpy mencakup manajemen sistem berkas, pengendalian webcam, pencurian kata sandi, dan manajemen desktop jarak jauh.

Kampanye SambaSpy menonjol karena sasarannya tepat, tidak seperti kebanyakan serangan malware yang menjangkau banyak negara dan bahasa. Malware ini sudah direkayasa untuk menginfeksi hanya pengguna yang sistemnya memakai bahasa Italia. Jurus ini memastikan kemungkinan keberhasilan maksimum di wilayah ini. Berdasarkan telemetri Kaspersky, kampanye ini dimulai pada Mei 2024 dan tidak menunjukkan tanda-tanda melambat.

"Kami terkejut dengan penargetan yang sempit dari serangan ini. Biasanya, penjahat siber bertujuan untuk menginfeksi sebanyak mungkin pengguna, tetapi rantai infeksi SambaSpy mencakup pemeriksaan khusus untuk memastikan bahwa hanya pengguna Italia yang terpengaruh," ucap Giampaolo Dedola, peneliti keamanan siber senior di GReAT Kaspersky.

Dua rantai infeksi yang sedikit berbeda diidentifikasi Kaspersky dipakai pada kampanye tersebut. Salah satu metode infeksi yang sangat rumit dimulai dengan email phishing, yang sepertinya berasal dari perusahaan real estat Italia yang resmi. Email tersebut berisi tautan yang seolah-olah merujuk ke layanan cloud Italia resmi yang digunakan untuk pengelolaan faktur.

Baca juga: Susupi Aplikasi-aplikasi Populer, Trojan Necro Serang 11 Juta Korban

Namun, ketika tautan tersebut diklik, pengguna diarahkan ke server web berbahaya. Server tersebut merupakan tempat malware memvalidasi pengaturan browser dan bahasa. Jika pengguna menjalankan Edge, Firefox, atau Chrome dengan pengaturan bahasa Italia, mereka diarahkan ke URL OneDrive berbahaya. OneDrive tersebut berisi PDF yang disematkan malware. Ketika PDF dibuka maka akan mulai mengunduh dropper atau downloader, yang keduanya akhirnya mengirimkan SambaSpy RAT.

SambaSpy adalah RAT berfitur lengkap yang ditulis dalam Java dan disamarkan menggunakan Zelix KlassMaster. Malware canggih ini dapat melakukan berbagai kegiatan berbahaya berbahaya, termasuk:

• Manajemen sistem file dan proses
• Pengendalian webcam
• Pencatatan penekanan tombol (Keystroke logging) dan manipulasi clipboard
• Manajemen desktop jarak jauh
• Pencurian kata sandi dari browser utama seperti Chrome, Edge, dan Opera
• Pengunggahan dan pengunduhan file
• Kemampuan untuk memuat plugin tambahan saat runtime

Baca juga:  Waspada, Trojan Fleckpe Diam-diam Daftarkan Langganan Layanan Berbayar

Mekanisme pemuatan plugin SambaSpy dan penggunaan pustaka seperti JNativeHook menunjukkan tingkat kecanggihan yang dipakai para penyerang. Kendati target utama SambaSpy adalah pengguna Italia, peneliti Kaspersky mengidentifikasi keterkaitan yang kuat dengan Brasil. Komentar dan pesan kesalahan dalam kode berbahaya ditulis dalam bahasa Portugis Brasil. Hal ini menunjukkan bahwa pelaku ancaman di balik serangan tersebut bisa jadi merupakan berasal dari Brasil. Infrastrukfur yang dipakai dalam kampanye tersebut juga dikaitkan dengan serangan lain di Brasil dan Spanyol. Namun, alat infeksi di wilayah ini sedikit berbeda dari yang dipakai di Italia.

Kaspersky akan mengungkapkan informasi selengkapnya mengenai kecanggihan ancaman siber pada Security Analyst Summit (SAS) mendatang. Ajang ini akan diselenggarakan 22-25 Oktober 2024. Dalam konfereksi ini, peserta dapat mempelajari tren terbaru dari lanskap ancaman.

Baca juga: Tips Kaspersky Agar Tetap Aman dari Trojan Perbankan Gin

Tips Memaksimalkan Keamanan Organisasi

Kaspersky menyarankan beberapa tips berikut ini untuk memaksimalkan keamanan organisasi.

• Jangan mengekspos layanan desktop jarak jauh, seperti RDP, ke jaringan publik kecuali benar-benar diperlukan. Selalu gunakan kata sandi yang kuat pada layanan tersebut.
• Pastikan VPN komersial dan solusi perangkat lunak sisi server lainnya selalu mutakhir. Hal tersebut penting karena eksploitasi jenis perangkat lunak ini merupakan vektor infeksi ransomware yang umum. Selalu perbarui aplikasi sisi klien.
• Fokuskan strategi pertahanan untuk mendeteksi pergerakan lateral dan pencurian data ke internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat siber. Cadangkan data secara teratur dan pastikan cadangan data dapat diakses. dengan cepat dalam keadaan darurat. Pakai informasi Threat Intelligence terbaru untuk tetap mengetahui TTP terbaru yang digunakan pelaku ancaman.
• Pakai layanan Managed Detection and Response untuk membantu mengidentifikasi dan menghentikan serangan pada tahap awal. Hal ini penting dilakikan sebelum penyerang mencapai tujuan akhir.
• Edukasi karyawan untuk melindungi lingkungan perusahaan. Kursus pelatihan khusus dapat membantu, contohnya yang disediakan di Kaspersky Automated Security Awareness Platform.
• Manfaatkan solusi keamanan yang kompleks, yang menggabungkan fitur perlindungan titik akhir dan respons insiden otomatis, seperti Kaspersky NEXT.