Kaspersky Ingatkan Warga Waspadai Malware StripedFly

PAKAR Kaspersky telah menemukan malware StripedFly, yang sebelumnya tidak dikenal dan sangat canggih dengan jangkauan global hingga memengaruhi lebih dari 1 juta korban setidaknya sejak 2017. 

Awalnya bertindak sebagai penambang aset kripto, StripedFly akhirnya menunjukkan diri sebagai malware kompleks dengan kerangka kerja wormable multi-fungsi.

Pada 2022, Tim Riset dan Analisis Global Kaspersky menemukan dua deteksi tidak terduga dalam proses WININIT.EXE, yang dipicu oleh rangkaian kode yang sebelumnya diamati pada malware Equation. 

Baca juga: Di Paruh Pertama 2023, Ancaman Siber terhadap UMKM Indonesia Meningkat

Aktivitas StripedFly telah berlangsung setidaknya sejak 2017 dan secara efektif menghindari analisis sebelumnya, karena dahulu telah salah diklasifikasikan sebagai penambang aset kripto. 

Setelah melakukan pemeriksaan komprehensif terhadap masalah ini, ditemukan bahwa penambang aset kripto hanyalah sebuah komponen dari entitas yang jauh lebih besar, yaitu kerangka kerja berbahaya yang kompleks, multiplatform, dan multiplugin.

Muatan malware mencakup banyak modul, memungkinkan aktor untuk bertindak sebagai APT, penambang kripto, dan bahkan kelompok ransomware, yang berpotensi memperluas motifnya dari keuntungan finansial hingga spionase. 

Baca juga: Crowdstrike Rilis Laporan, Serangan Identitas Kerberoasting Meningkat 583%

Khususnya, aset kripto Monero yang ditambang dengan modul ini mencapai nilai puncaknya pada angka US$542,33 pada 9 Januari 2018, dibandingkan dengan nilai pada 2017 sekitar US$10. Pada 2023, nilainya telah dipertahankan sekitar US$150. 

Pakar Kaspersky menekankan modul penambangan adalah faktor utama yang memungkinkan malware dapat menghindari deteksi dalam jangka waktu lama.

Penyerang di balik operasi ini memiliki kemampuan luas untuk memata-matai korban secara sembunyi-sembunyi. Malware ini mengumpulkan kredensial setiap dua jam, mencuri data sensitif seperti kredensial login situs dan WIFI, serta data pribadi seperti nama, alamat, nomor telepon, perusahaan, dan jabatan. 

Selain itu, malware ini dapat menangkap tangkapan layar pada perangkat korban tanpa terdeteksi, mendapatkan kendali signifikan atas mesin, dan bahkan merekam input mikrofon.

Vektor infeksi awal masih belum diketahui sampai penyelidikan lebih lanjut dari Kaspersky mengungkapkan penggunaan eksploitasi 'SMBv1' EternalBlue yang dibuat khusus untuk menyusup ke sistem korban. 

Meskipun kerentanan EternalBlue telah diungkapkan kepada publik pada 2017, dan Microsoft merilis patch berikutnya (disebut sebagai MS17-010), ancaman yang ditimbulkan tetap signifikan karena banyak pengguna belum memperbarui sistem mereka.

Selama analisis teknis kampanye tersebut, para ahli Kaspersky mengamati kemiripan dengan malware Equation. Hal ini mencakup indikator teknis seperti tanda tangan yang terkait dengan malware Equation, serta gaya dan praktik pengkodean yang mirip dengan malware StraitBizzare (SBZ). 

Berdasarkan penghitung unduhan yang ditampilkan oleh repositori tempat malware dihosting, perkiraan jumlah target StripedFly mencapai lebih dari satu juta korban di seluruh dunia.

“Jumlah upaya yang diinvestasikan dalam merealisasikan kerangka kerja ini sungguh luar biasa, dan peluncurannya cukup mencengangkan. Kemampuan penyerang dalam beradaptasi dan berkembang merupakan tantangan berkelanjutan, oleh karena itu sangat penting bagi kami sebagai peneliti untuk terus mendedikasikan upaya terbaik dalam mengungkap dan menyebarkan ancaman siber yang canggih, dan bagi pelanggan untuk tidak melupakan perlindungan komprehensif," komentar Peneliti Keamanan Utama di Tim Riset dan Analisis Global (GReAT) Kaspersky Sergey Lozhkin.

Untuk menghindari menjadi korban serangan yang ditargetkan oleh pelaku ancaman siber yang dikenal atau tidak dikenal, peneliti Kaspersky merekomendasikan penerapan langkah-langkah berikut:

• Perbarui sistem operasi, aplikasi, dan perangkat lunak antivirus Anda secara berkala untuk menambal setiap kerentanan yang diketahui.
• Berhati-hatilah terhadap email, pesan, atau panggilan yang meminta informasi sensitif. Verifikasi identitas pengirim sebelum membagikan detail pribadi apa pun atau mengeklik tautan yang mencurigakan.
• Memberikan tim SOC Anda akses ke intelijen ancaman (TI) terbaru. Portal Intelijen Ancaman Kaspersky adalah satu titik akses untuk TI perusahaan, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
• Tingkatkan keterampilan tim keamanan siber Anda untuk mengatasi ancaman terbaru yang ditargetkan dengan mengikuti berbagai pelatihan. (RO/Z-1)