TEMPO.CO, Jakarta - Tim riset dan analisis Kaspersky Lab telah menemukan infeksi trojan tidak dikenal, kemungkinan berkaitan dengan malware berbahasa Tionghoa yang terkenal, LuckyMouse.
Jenis malware tersebut memiliki ciri penggunaan driver yang dilengkapi sertifikasi digital dari perusahaan perangkat lunak keamanan informasi.
Baca: Waspada, Malware Ini Bisa Menyerang Smartphone Android dan iOS
Baca: Malware Terbanyak Serang Android untuk Perangkat Mobile
Baca: 24.000 Mobile Malware Serang Smartphone di Indonesia Setiap Hari
"Munculnya kampanye LuckyMouse selalu bertepatan waktunya dengan perhelatan politik dengan profil yang besar, dan waktu penyerangan biasanya mendahului puncak acara politik dunia tersebut," ujar Peneliti Keamanan Kaspersky Lab Denis Legezo, Selasa, 25 September 2018.
Kelompok LuckyMouse dikenal atas serangan siber dengan target pada entitas besar di seluruh dunia. Kegiatan kelompok tersebut dapat menimbulkan bahaya di seluruh kawasan, termasuk Asia Tenggara dan Asia Tengah, karena serangan mereka tampaknya memiliki agenda politik tertentu.
Fenomena tersebut terlihat dari profil korban dan vektor serangan sebelumnya. Peneliti Kaspersky Lab berpikir bahwa Trojan yang terdeteksi kemungkinan telah digunakan untuk spionase siber suatu negara yang didukung oleh pemerintahannya.
"Pelaku kejahatan tidak begitu mengkhawatirkan atribusi, karena mereka menggunakan kode pihak ketiga dalam program yang dijalankan, sehingga tidak memakan waktu bagi mereka untuk menambahkan lapisan lain pada droppers atau bahkan untuk mengembangkan modifikasi pada malware tersebut," tambah Legezo. "Dan dengan cara ini masih tidak dapat terlacak."
Jenis Trojan yang ditemukan para ahli Kaspersky Lab itu dapat menginfeksi komputer target melalui driver yang dibuat oleh pelaku ancaman. Setelah berhasil menyusup, penyerang dapat menjalankan semua perintah termasuk eksekusi perintah, mengunduh dan mengunggah file, serta mencegat lalu-lintas jaringan.
Driver tersebut menjadi bagian paling menarik dari praktik penyerangan yang dijalankan. Agar terlihat berasal dari sumber yang terpercaya, kelompok tersebut mencuri sertifikat digital yang dimiliki oleh pengembang perangkat lunak terkait keamanan informasi dan menggunakannya sebagai penanda sampel malware.
"Upaya tersebut dilakukan untuk menghindari deteksi dari solusi keamanan, dengan menyertakan penanda yang sah, maka malware dapat tampak seperti perangkat lunak legal," kata Legezo.
Yang juga menjadi perhatian para peneliti adalah, meskipun LuckyMouse memiliki kemampuan untuk membangun sendiri perangkat lunak berbahaya, namun perangkat lunak yang digunakan dalam serangan itu merupakan kombinasi dari malware khusus dan sampel kode yang tersedia untuk publik dari repositori umum.
"Daripada menulis sendiri kode orisinil, menggunakan kode pihak ketiga yang siap digunakan, sehingga dapat menghemat waktu pembuatan malware dan membuat proses atribusi semakin sulit," lanjut dia.