Temuan QRAT Downloader Menyamar Sebagai Video Skandal Donald Trump

QRAT-Downloader-Skandal-Donald-Trump
Photo: Illustration (Trustwave)

Local-Hunter.com - Trustwave meninjau perangkap spam yang ia temukan pada target kampanye yang menarik untuk diulas. Karena lampiran ke email tidak sesuai dengan body email, saat sedang penyelidikan Trustwave menemukan adanya varian terbaru dari QRAT yang ditemukan pada Agustus lalu.

Namun saat ini Trustwave menemukan hal unik lain ketika pembicaraan Presiden Donald Trump menjadi pembicaraan terhangat di media sosial dan kabar terbarunya kelompok penjahat siber melakukan eksploitasi bertemakan video skandal Donal Trump yang sebenarnya adalah malware QRAT Downloader.

Kampanye penyebaran ini diberikan label sebagai "TRUMP_SEX_SCANDAL_Video" agar siapapun tertarik untuk melihatnya. Trustwave mengatakan ini bukanlah video asli melainkan video palsu yang sebenarnya adalah malware yang disembunyikan melalui lampiran di email.

Para peretas memanfaatkan berita hangat yang sedang dibicarakan yaitu Presiden Donald Trump. Jika tautan ini di klik maka korban tidak akan diarahkan ke halaman video skandal yang dimaksud melainkan memasang malware QRAT. yang memberi akses jarak jauh kepada peretas dari sistem yang terinfeksi.

QRAT Downloader

Sedikit sejarah pertama kali QRAT ditemuka yaitu pada tahun 2015, yang diberi nama sebagai Quaverse Remote Access Trojan (QRAT) sebuah trojan berbahaya yang dapat diakses jarak jauh oleh peretas. QRAT ini termasuk basis yang dibuat dengan bahasa pemrograman Java dan salah satu trojan paling terkenal pada saat itu.

Kampanye malware QRAT memiliki pengunduh multi-stage, yang pertama adalah file ekstension JAR diunduh melalui tautan body email. Semua file JAR yang dikumpulkan dan ditemukan diketahui menggunakan obfuscate Allatori. Semua penamaan class memiliki panjang yang sama namun yang hanya dibedakan adalah huruf kapitalisasinya saja.

Arsitektur file JAR bila tereksekusi dengan baik maka tidak akan lama sistemnya akan mengunduh Node.js yang sudah disesuaikan dengan mesin target. File JAR yang digunakan oleh QRAT menggunakan Node.js versi 13.13.0.

Payload dari malware QRAT Downloader diketahui menggunakan qnode-win32-ia32.js yang mirip dengan wizard.js dengan bantuan Node.js. Kode berbahaya itu di enkripsi menggunakan Base64 dan memiliki modul tersendiri. Modul script Node.js yang digunakan menggunakan string "qnode-service" sebagai penamaan perintah yang membutuhkan argumen dalam bentuk --central-base-url ketika dijalankan.

QRAT Fake Video Skandal Donald Trump

Upaya phising yang terbaru ini ditemukan oleh peneliti keamanan dari Truswave, Diana Lopera yang menurutnya baris subjek dan nama file tidak ada hubungannya satu sama lain.

Kelompok peretas ini mengirimkan email dengan subjek "GOOD LOAN OFFER!!" sekilas ini tampak biasa dan tidak ada kecurigaan apapun bagi penerima email. Namun hal menarik yang ditemukan Lopera adalah arsip file dari tautan email yang diberi nama "TRUMP_SEX_SCANDAL_VIDEO" dengan ekstensi JAR, yang mana nama tersebut adalah hasil proses jadi dari pemrograman Java.

"Berita utama yang sedang hangat di Amerika adalah seputar pemilihan presiden dan memberikan banyak celah bagi aktor jahat untuk melakukan penipuan dan mengirimkan malware berbahaya." kata Lopera.

"QRAT memiliki varian berbeda dari pendahulunya. Namun untuk yang satu ini sepertinya sudah diperbarui dan sistem kerjanya sudah canggih" kata Lopera.

"Ancaman siber telah meningkat secara signifikan selama beberapa bulan terakhir sejak pertama kali kami memeriksanya. Untuk mencapai tujuan akhir yang sama, yaitu menginfeksi sistem dengan RAT QNode dengan mengandalkan ekstensi file JAR yang ditingkatkan." kata Lopera.

"Kode berbahaya QRAT Downloader dibagi antara file bernomor dan bersamaan dengan data sampah yang juga ditambahkan ke dalamnya." tambah Lopera.

QRAT terbaru yang ditemukan oleh Trustwave menyertakan lisensi dari Microsoft ISC dengan sajian pesan yang memberi tahu pengguna bahwa file JAR sedang dijalankan untuk pengujian jarak jauh.

Versi QRAT sebelumnya berisi informasi tentang layanan langganan dari QHub yang diperlukan untuk berkomunikasi dengan server. Namun string nodejs di versi terbaru ini ada beberapa yang dihilangkan.

Untuk itu jika kamu menemukan pesan email yang tidak dikenal dan mengandung lampiran yang aneh sebaiknya dibiarkan saja dan jangan sampai melakukan tindakan klik. Saat ini kelompok peretas sedang menjalankan aksinya di berbagai media sosial untuk mencuri informasi sensitif dari para targetnya.

Posting Komentar

0 Komentar