Waspada Penjahat Siber Menyebar File Berbahaya Menyamar Sebagai E-Book PDF

Suara.com - Tim Riset & Analisis Global (Global Research & Analysis Team/GReAT) Kaspersky mengungkap kampanye malware-as-a-service yang menargetkan pembaca ebook di Turki, Mesir, Bangladesh, dan Jerman.

Pelaku kejahatan siber menyamarkan malware canggih sebagai buku-buku terlaris berbahasa Turki dan Arab, menipu ratusan pembaca untuk mengunduh file yang melakukan pencurian kata sandi, dompet aset kripto, dan informasi sensitif lainnya dari komputer mereka.

Peneliti GReAT mengidentifikasi kampanye malware-as-a-service (MaaS) menggunakan LazyGo, sebuah loader berbasis Go yang baru ditemukan yang mengirimkan beberapa program pencuri informasi.

Kampanye ini menargetkan pengguna yang mencari judul-judul populer mulai dari "The Thirty-Nine Steps" karya John Buchan dalam bahasa Turki hingga teks-teks Arab tentang puisi, cerita rakyat, cuaca, dan praktik keagamaan.

File-file berbahaya tersebut menyamar sebagai ebook PDF tetapi sebenarnya adalah program yang dapat dieksekusi dengan ikon PDF.

Ketika pengguna mengunduh dan membuka buku-buku palsu ini, loader LazyGo menyebarkan infostealer termasuk StealC, Vidar, dan ArechClient2.

Para peneliti Kaspersky mengidentifikasi tiga varian LazyGo, yang masing-masing menggunakan teknik penghindaran yang berbeda seperti pelepasan API, bypass AMSI, penonaktifan ETW, dan deteksi anti-mesin virtual.

Informasi yang dicuri meliputi data browser, yang meliputi kata sandi tersimpan, cookie, informasi pengisian otomatis, dan riwayat penelusuran dari Chrome, Edge, Firefox, dan peramban lainnya.

Aset keuangan, terdiri dari ekstensi dompet aset kripto, file konfigurasi, dan data penyimpanan.

Baca Juga: Waspada! Di Balik Keindahan Pandora, 'Avatar 3' Jadi Umpan Empuk Penjahat Siber

Kredensial pengembang, seperti kredensial AWS, token Azure CLI, dan token Microsoft Identity Platform.

Platform komunikasi terdiri dari Token Discord, data Telegram Desktop, dan file sesi Steam.

Selain itu, informasi sistem, pesifikasi perangkat keras, perangkat lunak yang terinstal, dan proses yang berjalan.

Para korban yang terinfeksi ArechClient2/SectopRAT menghadapi risiko tambahan karena penyerang mendapatkan kendali jarak jauh sepenuhnya atas mesin yang disusupi.

Telemetri Kaspersky menunjukkan tingkat infeksi yang tinggi di Turki, Bangladesh, Mesir, dan Jerman, yang memengaruhi lembaga pemerintah, lembaga pendidikan, layanan TI, dan sektor lainnya.

Kampanye ini tetap aktif dengan pelaku ancaman yang terus mengunggah ebook berbahaya baru ke GitHub dan situs web yang disusupi.