- Tim Kaspersky mengungkap kampanye MaaS menargetkan pembaca ebook di Turki, Mesir, Bangladesh, dan Jerman melalui unduhan palsu.
- Malware menggunakan loader LazyGo baru untuk mencuri kata sandi, aset kripto, dan kredensial pengembang dari komputer korban.
- Infeksi tinggi terjadi pada sektor pemerintah dan pendidikan; pelaku terus menyebarkan ebook berbahaya menggunakan teknik penghindaran canggih.
Suara.com - Tim Riset & Analisis Global (Global Research & Analysis Team/GReAT) Kaspersky mengungkap kampanye malware-as-a-service yang menargetkan pembaca ebook di Turki, Mesir, Bangladesh, dan Jerman.
Pelaku kejahatan siber menyamarkan malware canggih sebagai buku-buku terlaris berbahasa Turki dan Arab, menipu ratusan pembaca untuk mengunduh file yang melakukan pencurian kata sandi, dompet aset kripto, dan informasi sensitif lainnya dari komputer mereka.
Peneliti GReAT mengidentifikasi kampanye malware-as-a-service (MaaS) menggunakan LazyGo, sebuah loader berbasis Go yang baru ditemukan yang mengirimkan beberapa program pencuri informasi.
Kampanye ini menargetkan pengguna yang mencari judul-judul populer mulai dari "The Thirty-Nine Steps" karya John Buchan dalam bahasa Turki hingga teks-teks Arab tentang puisi, cerita rakyat, cuaca, dan praktik keagamaan.
File-file berbahaya tersebut menyamar sebagai ebook PDF tetapi sebenarnya adalah program yang dapat dieksekusi dengan ikon PDF.
Ketika pengguna mengunduh dan membuka buku-buku palsu ini, loader LazyGo menyebarkan infostealer termasuk StealC, Vidar, dan ArechClient2.
Para peneliti Kaspersky mengidentifikasi tiga varian LazyGo, yang masing-masing menggunakan teknik penghindaran yang berbeda seperti pelepasan API, bypass AMSI, penonaktifan ETW, dan deteksi anti-mesin virtual.
Informasi yang dicuri meliputi data browser, yang meliputi kata sandi tersimpan, cookie, informasi pengisian otomatis, dan riwayat penelusuran dari Chrome, Edge, Firefox, dan peramban lainnya.
![Ilustrasi kata sandi di hp. [Unsplash/Dan Nelson]](https://media.suara.com/pictures/653x366/2024/06/18/99207-ilustrasi-kata-sandi-di-hp.jpg)
Aset keuangan, terdiri dari ekstensi dompet aset kripto, file konfigurasi, dan data penyimpanan.
Baca Juga: Waspada! Di Balik Keindahan Pandora, 'Avatar 3' Jadi Umpan Empuk Penjahat Siber
Kredensial pengembang, seperti kredensial AWS, token Azure CLI, dan token Microsoft Identity Platform.
Platform komunikasi terdiri dari Token Discord, data Telegram Desktop, dan file sesi Steam.
Selain itu, informasi sistem, pesifikasi perangkat keras, perangkat lunak yang terinstal, dan proses yang berjalan.
Para korban yang terinfeksi ArechClient2/SectopRAT menghadapi risiko tambahan karena penyerang mendapatkan kendali jarak jauh sepenuhnya atas mesin yang disusupi.
Telemetri Kaspersky menunjukkan tingkat infeksi yang tinggi di Turki, Bangladesh, Mesir, dan Jerman, yang memengaruhi lembaga pemerintah, lembaga pendidikan, layanan TI, dan sektor lainnya.
Kampanye ini tetap aktif dengan pelaku ancaman yang terus mengunggah ebook berbahaya baru ke GitHub dan situs web yang disusupi.
