ObliqueRAT, Varian Trojan Baru yang Bersembunyi di File Gambar Melalui Situs Bajakan

Malware trojan ObliqueRAT yang bersembunyi di gambar

Trojan ObliqueRAT kembali muncul namun dengan varian baru yakni yang disembunyikan di dalam gambar. Trojan yang dibuat memanfaatkan situs web yang mereka bajak untuk menghindari pendeteksian dari para peneliti keamanan. Kampanye penyebaran ObliqueRAT pertama kali diketahui sejak kemunculannya pada April 2020 dan hingga kini masih berlangsung.

Menurut analisis Cisco Talos Intelligence Group, ObliqueRAT masih ada kaitannya dengan varian CrimsonRAT. Talos menduga bahwa kelompok ini berasal dari Asia Selatan dan info menarik lain, Talos mengamati adanya tambahan infrastruktur Control-Command yang dimiliki ObliqueRAT mirip dengan RevengeRAT.


RevengeRAT sendiri salah satu trojan RAT yang dirancang dari basis .NET yang kode sumbernya telah bocor di internet tahun lalu dan mungkin dipakai oleh kelompok peretas yang lain. Keterkaitan lain juga berasal dari CrimsonRAT, pada tahun 2019 Talos mendeteksi dua malware trojan ini berbagi maldocs (Malware Document) yang sangat mirip. Namun untuk pembaruan RAT ini semuanya telah dirubah bahkan cara penyebarannya juga sulit dideteksi.

Berikut adalah versi dari ObliqueRAT menurut catatan Cisco Talos Intelligence Group:

ObliqueRAT Version 6.1
  • Menambahkan kode perintah baru "hb" ke RAT. Meskipun kode perintah ini tidak benar-benar melakukan apa-apa, sangat mungkin para penyerang bersiap untuk memperkenalkan kemampuan RAT yang baru.
  • Memeriksa nama pengguna dan nama komputer serta menentukan pilihan eksekusi atau tidak.
  • Memeriksa nama proses serta memasukkan daftar blokir jika ditemukan berjalan pada sistem. Daftar blokir terdiri dari proses yang termasuk dalam perangkat lunak mesin virtual (seperti VMWare) dan alat analisis (seperti ProcessHacker, dll.)
ObliqueRAT Version 6.3

Untuk versi yang satu ini telah dikembangkan untuk mengekstrak file yang diberi nama menarik terutama dari drive removable ataupun sesuatu yang terhubung dengan sistem korban. Ekstensi yang dilepaskan oleh trojan ini antara lain :
  • docs / docx
  • pdf
  • ppt / pptx
  • txt
  • xls / xlsx
Selain itu, versi ini juga memperkenalkan fitur baru yang mampu melakukan screenshot pada webcam serta melakukan screenshot pada desktop yang nantinya akan dikirimkan ke server peretas tersebut.

Photo: ObliqueRAT (Talos Intelligence)

Dalam penyebarannya, operator ObliqueRAT menggunakan teknik steganografi untuk menyembunyikan kode, file gambar maupun video dalam format file dan dalam hal ini Talos menemukan file ekstensi .BMP yang di dalamnya ditanamkan ObliqueRAT berbahaya.

ObliqueRAT ini ditanamkan di file gambar yang dihosting di situs web yang sebelumnya sudah dikendalikan oleh operator tersebut. Canggihnya dari trojan ini adalah berisi data gambar yang sah dan sangat tidak terlihat adanya sesuatu yang curiga. Jika bytekode itu tereksekusi, maka akan memicu download file .ZIP yang di dalamnya berisi muatan ObliqueRAT.

Berikut adalah nama proses yang di blokir oleh ObliqueRAT :
  • python
  • vmacthlp
  • VGAuthService
  • vmtoolsd
  • TPAutoConnSvc
  • ftnlsv
  • ftscanmgrhv
  • vmwsprrdpwks
  • usbarbitrator
  • horizon_client_service
  • ProcessHacker
  • procexp
  • Autoruns
  • pestudio
  • Wireshark
  • dumpcap
  • TSVNCache
  • dnSpy
  • ConEmu
  • 010Editor
  • ida64
  • Procmon
  • ollydbg
  • LordPE
  • Fiddler
  • CFF Explorer
  • sample
  • vboxservice
  • vboxtray

Apa yang harus dilakukan?

Sekali lagi, ini sulit di deteksi dan belum tentu antivirus seperti Avast, Kaspersky, ESET Security, Panda Security, AVG, Avira maupun Bitdefender melacak ini adalah malware trojan berbahaya, apalagi trojan ini dikemas ke dalam file gambar yang sah. Semua ini bergantung kepada kalian ketika menuju situs web, karena beberapa situs mungkin saja telah dibajak. Namun ini bisa di minimalisir, karena kebanyakan malware berbahaya berada di situs web download bajakan. Untuk itu, sebaiknya berhati-hati dalam mencari file tertentu.

Jika kamu telah mengunduh file di situs download bajakan, berikan kepada kami file .ZIP tersebut untuk di analisa lebih lanjut dan jika file tersebut sudah kami anggap aman silakan untuk melanjutkan tahap penginstallan di komputer / laptop masing-masing.

Tata cara mengirimkan informasi file yang sudah kamu download kepada kami ada di bawah ini.

Subject     : File Download Microsoft Word 2019 Crack (Contoh)
Situs Web : https://www.example.com/
Nama KeyGen : MSGen (Contoh) *Jika ada

Perlu diketahui, ada beberapa antivirus yang mendeteksi malware secara acak yang padahal itu bukanlah malware berbahaya melainkan file sistem aman. Jadi, tetap waspada dalam memilih situs web untuk melakukan sesuatu terutama mengunduh file.

Posting Komentar

0 Komentar