Ratusan perusahaan di seluruh dunia telah menjadi sasaran email spear-phishing yang mengklaim pelanggaran hak cipta yang sebenarnya mengirimkan pencuri informasi.
Mulai bulan Juli, Check Point Research mulai melacak email yang tersebar di Amerika, Eropa, dan Asia Tenggara, dan selalu berasal dari domain baru. Ratusan pelanggannya telah menjadi sasaran, yang menunjukkan bahwa jangkauan sebenarnya dari kampanye ini mungkin masih jauh lebih besar.
Tujuan dari email tersebut adalah untuk memancing korban yang merasa bersalah untuk mengunduh Rhadamanthysseorang pencuri informasi canggih yang juga mampu mencuri intelijen negara atau, dalam hal ini, frasa sandi dompet mata uang kripto.
CopyR(kanan)hadamantys
Tidak ada dua email dalam kampanye yang dijuluki oleh para peneliti sebagai “CopyR(kanan)hadamantys” berasal dari alamat yang sama, yang menunjukkan bahwa pasti ada semacam otomatisasi di balik distribusinya. Otomatisasi ini terbukti canggung dalam beberapa keadaan — seperti ketika target Israel menerima email yang hampir seluruhnya dalam bahasa Korea — dan membatasi kemampuan email untuk meniru identitas secara realistis merek terkenal.
Masing-masing dibuat seolah-olah berasal dari perwakilan hukum dari perusahaan tertentu yang dikenal. Hampir 70% dari perusahaan tersebut berasal dari industri teknologi – seperti Check Point itu sendiri – atau dari industri media dan hiburan.
Profil merek yang ditiru sangat terkait dengan cerita yang dijajakan para penyerang: bahwa penerima telah memposting semacam konten di media sosial yang melanggar hak cipta. “Saya berasumsi setiap orang pernah melakukannya sampai tingkat tertentu dalam hidupnya,” kata Sergey Shykevich, manajer kelompok intelijen ancaman di Check Point. “Itu hanya membuat orang ragu dan berpikir, 'Oh, apakah saya menggunakan gambar yang salah? Apakah saya menyalin beberapa teks [by accident]?' Bahkan jika kamu tidak melakukannya.”
Penerima diminta untuk menghapus gambar dan video tertentu, yang rinciannya terdapat dalam file yang dilindungi kata sandi. File tersebut sebenarnya adalah tautan yang mengarahkan pengguna untuk mengunduh arsip dari Dropbox atau Discord. Arsip tersebut berisi dokumen umpan, dokumen executable yang sah, dan pustaka tautan dinamis berbahaya (DLL) yang berisi pencuri Rhadamanthys.
Yang Perlu Diketahui Tentang Rhadamanthys
Rhadamanthys adalah pencuri informasi yang populer dan ulung. Seperti yang dijelaskan Shykevich, “Tidak diragukan lagi, ini adalah pencuri informasi tercanggih yang dijual sebagai malware komoditas di Web Gelap. Harganya lebih mahal dibandingkan pencuri informasi lainnya: Biasanya Anda akan menyewa pencuri informasi lain dengan harga antara $100 hingga $200. Rhadamanthys lebih mahal, sekitar $1.000. Ini jauh lebih modular, lebih dikaburkan, dan lebih rumit dalam cara pembuatannya: Cara ia memuat dirinya sendiri, menyembunyikan dirinya sendiri, semua ini membuat pendeteksian menjadi jauh lebih rumit.”
Di antara fitur-fitur lainnya, Rhadamanthys versi 0.7 terbaru menggunakan komponen pengenalan karakter optik (OCR) berbasis pembelajaran mesin yang agak kuno. Ini bukanlah kecerdasan buatan (AI) yang canggih — ia kesulitan menangani teks dengan warna campuran, tidak dapat membaca tulisan tangan, dan hanya menafsirkan font paling populer. Meskipun demikian, ini membantu malware membaca data dari dokumen statis (seperti PDF) dan gambar.
Di CopyR(ight)hadamantys, modul OCR dilengkapi dengan kamus 2,048 kata yang terkait dengan kode perlindungan dompet Bitcoin. Hal ini mungkin menunjukkan bahwa para penyerang mengincar mata uang kripto, yang, jika benar, juga akan sejalan dengan penargetan kampanye yang luas, yang merupakan karakteristik dari kampanye yang bermotif finansial. Dalam beberapa bulan terakhir, Rhadamanthys juga dikaitkan dengan aktor ancaman terhadap negara seperti Iran Batalkan Manticoredan kelompok pro-Palestina “Handala.”
Satu Fitur Siluman yang Aneh
Organisasi yang ingin bertahan melawan CopyR(ight)hadamantys harus memulai dengan perlindungan phishing, namun ada keunikan lain dari kampanye ini yang juga perlu diperhatikan.
Setelah menyerang, DLL jahat menulis versi dirinya yang jauh lebih besar ke folder Dokumen komputer korban, yang menyamar sebagai komponen Firefox. Versi file ini secara fungsional setara dengan versi pertama. Apa yang membuatnya lebih berat adalah “overlay” — data tidak berguna yang melayani dua fungsi meta. Pertama, ini mengubah nilai hash file, cara umum yang digunakan program antivirus untuk mengidentifikasi malware.
Beberapa program antivirus juga menghindari pemindaian file ekstra besar. “Misalnya, mereka tidak ingin menjalankan file yang berhubungan dengan game, dengan jumlah gigabyte yang besar, karena hal itu membuat beban menjadi berat,” jelas Shykevich. Dengan logika ini, file Rhadamanthys yang lebih besar dan tidak berguna mungkin meningkatkan peluangnya untuk menghindari deteksi. Namun, ia menambahkan, “Ini tidak terlalu umum karena penyerang juga tidak nyaman menangani file berukuran besar. Dengan beberapa solusi email, Anda tidak dapat melampirkan file yang lebih dari 20 MB, jadi Anda perlu mengirim korban ke sumber daya eksternal.” Jadi itu adalah sebuah taktik, namun bukan taktik gila yang selalu berhasil.”
Organisasi mungkin ingin mengendus file berukuran besar apa pun yang mungkin diunduh karyawan dari email. “Ini tidak mudah, karena ada banyak alasan mengapa beberapa file yang sah bisa berukuran besar,” katanya. “Tetapi saya pikir mungkin untuk menerapkan beberapa hal [effective] aturan untuk apa yang dapat Anda unduh.”
_Aleksey_Funtap_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "SSH Keys: Kredensial paling kuat yang mungkin Anda abaikan")
