Kaspersky Mengungkap Malware Berbahaya yang Menyamar Sebagai Penambang Kripto, Menjangkiti Lebih dari 1 Juta Komputer

Sumber: Pixabay

Peneliti dari perusahaan keamanan siber dan privasi digital global, Kaspersky, telah menemukan malware yang sangat canggih yang telah memengaruhi lebih dari satu juta korban sejak tahun 2017.

Malware ini, disebut dengan “StripedFly,” awalnya menyamar sebagai penambang mata uang kripto dan kemudian ditemukan sebagai kerangka kerja wormable multi-fungsional yang kompleks. Menurut laporan Kaspersky yang diterbitkan pada hari Kamis, StripedFly menginfeksi lebih dari 1 juta komputer Windows dan Linux selama lima tahun.

“Dilengkapi dengan terowongan jaringan TOR bawaan untuk komunikasi dengan server perintah, bersama dengan fungsionalitas pembaruan dan pengiriman melalui layanan tepercaya seperti GitLab, GitHub, dan Bitbucket, semuanya menggunakan arsip terenkripsi khusus.”

Para peneliti Kaspersky menemukan kerangka kerja berbahaya tersebut tahun lalu dan mencatat bahwa upaya untuk menciptakan kerangka kerja tersebut “benar-benar luar biasa.”

“Pada tahun 2022, kami menemukan dua deteksi tak terduga dalam proses WININIT.EXE dari kode lama yang sebelumnya diamati dalam malware Equation,” tulis para peneliti. “Analisis selanjutnya mengungkapkan contoh kode mencurigakan sebelumnya yang berasal dari tahun 2017.”

Malware ini salah diklasifikasikan sebagai penambang mata uang kripto Monero dan tidak jelas apakah ini digunakan untuk menghasilkan pendapatan atau spionase dunia maya. Para ahli berpendapat bahwa modul penambangan adalah faktor kunci yang memungkinkan malware untuk menghindari deteksi dalam waktu yang lama.

Temuan ini juga menunjukkan bahwa pelaku di balik malware telah memiliki kemampuan yang luas untuk memata-matai korban. Malware ini “mengumpulkan berbagai informasi sensitif dari semua pengguna yang aktif,” tambahnya.

Ini mengekstrak nama pengguna dan kata sandi login situs web, serta data pengisian otomatis pribadi seperti nama, alamat, nomor telepon, perusahaan, dan jabatan. “Ini juga mencatat nama jaringan Wi-Fi yang dikenal dan kata sandi yang terkait,” ungkap laporan tersebut.

Mirip dengan EternalBlue

Asal-usul StripedFly tetap tidak diketahui, namun penyelidikan lebih lanjut mengungkapkan bahwa malware ini menggunakan teknik yang serupa dengan eksploitasi ‘SMBv1’ EternalBlue untuk menyusup ke dalam sistem korban.

EternalBlue bocor pada April 2017 dan terus mengancam server Windows yang belum diperbaiki. Eksploitasi terkenal ini diciptakan dan digunakan oleh kelompok peretasan NSA yang dikenal sebagai Equation Group.

Kaspersky mengungkapkan bahwa StripedFly awalnya terdeteksi pada April 2016, setahun sebelum pendeteksian EternalBlue. Pada awal 2017, Microsoft merilis perbaikan untuk eksploitasi EternalBlue.

“Dibuat sudah cukup lama, StripedFly tanpa ragu telah mencapai tujuannya dengan berhasil menghindari deteksi selama bertahun-tahun. Banyak perangkat lunak berbahaya yang canggih dan terkenal telah diselidiki, tetapi yang ini benar-benar menonjol dan pantas mendapat perhatian serta pengakuan.”